渗透实例 | Fuzz大法好啊

admin 2022年4月25日17:09:04安全文章评论25 views553字阅读1分50秒阅读模式

0x00 前言

本文仅供学习分享用途,严禁用于违法用途

在搞站的时候,经过一顿操作后只发现了一堆低危,过了一段时间看看Xray,居然发现一个XSS

渗透实例 | Fuzz大法好啊

嗯~ Xray 真香!

随后进行复现,无奈多次尝试无果,好玩的是每换一个Payload,流量经过 Xray ,Xray 还会继续报这个漏洞,并且每次Payload都不一样,这感情好,直接用 Xray 给的 Payload 吧,尝试了半天,居然没有一个成功的,当时 Xray 的界面是这样的

渗透实例 | Fuzz大法好啊

虽然没有一个成功复现的,但是这看着还是挺爽的,一会儿报个漏洞一会儿报个漏洞的

0x01 Fuzz大法好

屡试不行之后便想到了Fuzz,那先去GitHub上找个字典

https://github.com/TheKingOfDuck/fuzzDicts

有了字典之后,上Burp

渗透实例 | Fuzz大法好啊

两千多的字典最后只有3个Payload响应200,不管了,先一个一个试试吧,那就先来试试第一个Payload

"+alert(16)+"

渗透实例 | Fuzz大法好啊

哎呀呀,不得不说,妙啊!

之后我再试另外几个 Payload 就不管用了

啧啧,Xray 真香、Fuzz 真香!



往期推荐
渗透实例 | 记录一次XSS渗透过程
资源分享 | 分享一张超详细的渗透测试导图
BurpSuite 最新破解专业版,看到这些新功能后我心动了


渗透实例 | Fuzz大法好啊

原文始发于微信公众号(TeamsSix):渗透实例 | Fuzz大法好啊

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日17:09:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  渗透实例 | Fuzz大法好啊 http://cn-sec.com/archives/785585.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: