学网安渗透

扫码加我吧

免费&进群

来Track安全社区投稿~

千元稿费！还有保底奖励~

---

所以这篇文章给大家分享一下我挖洞2个月的经验分享 适合新手上路

---

1. 如何找站？

谷歌搜索 谷歌搜索 谷歌搜索

---

---

inurl:.php?id=xx 公司
inurl:.asp?id=xx 公司
inurl:.jsp?id=xx 公司

---

1. id传参的数字也可以变换 这样就可以找到不同的站点

---

---

当然也可以在后面加上地区 比如：
inurl:.php?id=xx 公司 陕西

SQL注入的那些见不得人的小秘密：

1. 首先就是Bypass了 如何绕：
2. Bypass（绕狗）:
4. 大小写加负数绕过：
5. ANd -1=-1
7. 编码绕过:
8. 跟DOM型XSS一样
10. +号连接绕过：
11. and+1=1
12. union+select+1+2
14. 缓冲区POST：
15. post传递的参数可以有很多
16. 有些安全狗只检测某个长度之前的字符 之后的并不检测
18. 白名单（管理员权限或者是127.0.0.1本地访问不拦截，设置X-Forwarded-For）

、

1. 如果在挖SQL注入的时候碰到了这种安全狗：

1. 想都别想 这个时候你应该开心起来
2. 如果这个站点存在SQL注入的话 那就可以用这种方式绕过
4. 无闭合方式：
5. http://localhost/?id=1 --+/*%0aand 1=1 --+*/
7. 有闭合方式：
8. http://localhost/?id=1 --+/*%0a'and 1=1 --+ --+*/
10. 所以只要在挖SQL注入的时候看到这类安全狗 就跟没有一样
11. 有的话直接提交 没有换下一个

网站内部过滤特殊代码：

1. 测试网站是否存在SQL注入的时候 很简单 直接and 1=1呗
2. 但是可能会遇到这种站点

1. 它直接来了一个链接出错 有些人看到这种情况直接走了 换下一个站点
2. 如果是这样的想法 那这个站点的SQL注入就与你无缘了
4. 遇到这种情况还挺气人
5. 而且这个页面时不时还自动刷新一下 感觉它像再说：我还有救 快来测试我！
7. 正如以上说的那样 还真有救。

---

1. 在id后面加上-false 有数据

1. 加上-true 没数据

1. 说明这里存在SQL注入
2. 那怎么办 不止有显错注入 还有盲注
4. 可以使用:
5. length(database())>1
6. ascii(substr(database(),1,1))>1
8. 但是这个需要and啊 and 被检测了
9. and 其实可以转换为 HAVING
10. HAVING可以代替and

、

1. 测试结果如下
2. HAVING length(database())=7
3. 当前库名长度为：7

1. 不要遗忘了使用盲注 有时候 显错注入做不出来的时候 就可以用盲注
3. 有时候网站对接的sql语句太复杂 虽然是单引号闭合 当你开始查库名的时候就开始报错了

---

1. ps：
2. 绕狗确实真实有效 D盾除外
3. D盾也就只能输入个group by来测试一下字段 想输入其他敏感语句还是算了吧

---

伪静态

1. 伪静态也是一样的
2. 比如：
4. http://localhost/8971.html
5. http://localhost/8971 and 1=1.html

---

1. 总结：
2. 不管什么SQL注入都要结合着来 就算这个地方存在显错注入 你也可以试试用延时注入做出来 这样做的好处就是可以增强对盲注语法认识的强烈性
4. 如果一直用显错 一直不用其他注入的话 可能下次连靶场都做不出来了
5. 只能看看自己之前写的作业 然后重新认识语法
7. 聂风说过一句话：能用显错为什么要用盲注呢？
8. 其实挖掘漏洞就是为了提升自己 哈哈 我也没有怼聂风

---

1. 如何选择：
2. 一般人都去挖php站点了 也可以试试挖asp和jsp
4. 这些站点做起来比php站点难 步骤多 大佬也懒得写那么多步骤 最后也就加个4分左右
5. 这类站点大多部分存在cookie注入 逻辑漏洞 存储型XSS 以及各种莫名其妙的漏洞
7. 还记得我挖到的第一个外网漏洞 就是学完存储型XSS 就在一个asp站点上找到的

---

XSS ps：漏洞盒子已经不收xss漏洞了

1. XSS不用专门去找 一般挖SQL注入漏洞的时候 直接把XSS语句往id传参值哪里一粘贴 或者搜索框粘贴
3. 如果有 那就有 。如果没有 那就没有喽
4. 但是一般情况下 我挖到的SQL注入站点上 80%都存在XSS

---

1. 一定要见框就插 就是因为这个 我挖到了一个gov站点的反射型XSS
2. 还是挺幸运的 挖洞就是运气最重要
3. 如下：

---

1. 反射加8分 没见过吧 毕竟是gov站点

---

1. 注意：
2. 有些时候直接粘贴XSS语句 然后网站就把你ip封了 访问不了网站
3. 这种情况不需要挂代理 只需要重启路由器就可以了
4. 路由器地址一般都是192.168.1.1

弱密码+爆破+SQL注入

---

inurl:后台管理

1. 弱密码也可以试试 有时候admin admin 就进去了
2. 这个时候就可以提交 反正这也是个漏洞 虽然说没有技术性 但是还很难找
3. 不过还可以加个2-3分

1. 当然有时间的话 也可以选择爆破 并且抓包分析 试试有没有SQL注入

---

支付漏洞:

info: 商城 and 积分商城
ps：想挖到这种漏洞就得看运气 运气好就没得说了 运气不好什么都挖不到

1. 通过抓包去改参数
2. 比如：
3. 点击充值金额，抓住返回包，第一个包通常都不需要去改，直接放掉
4. 第二个返回包和第三个返回包可以仔细观察观察，那些都是接口的数据包
5. 通常把接口数据包里的金额值 改成其他

文件下载漏洞

inurl:.php?file 公司
其实文件下载漏洞不用刻意的去挖
挖其他漏洞的时候可以看看网站最下方有没有资料下载
有的话就直接测试，这波岂不是血赚`

---

1. 只要有站点可以下载东西 可以现下载一下 看一下URL是否出现这种东西
2. 比如：
3. http://localhost/1.php?file=download/web.pdf
4. 像这种 有file=赋值的 就很有可能有逻辑缺陷 就会存在任意文件下载
6. 但是·测试时可能会遇到这种站点：
7. http://www.xxx.com/file/download/xxx.zip
9. 一般我遇到过的任意文件下载在后面输入../就可以下载到其他文件
10. 但是这类站点输入../后并不会下载到这类文件 只是会跳转到这个页面
12. 比如：
13. https://www.xx.com/upload/file/../../index.php
15. 他会直接跳转到
16. https://www.xx.com/index.php

---

文件上传漏洞

1. 通常出现在很老的系统，但是也是有的
2. 比如：
3. 攻击者上传了一个可执行文件如木马，病毒，恶意脚本，WebShell等到服务器执行，并最终获得网站控制权限

---

1. 找到上传点

---

1. 前端验证 那么就上传jpg文件 抓包改后缀

---

1. 最后复制图片地址 asp木马就成功上传到服务器了

1. 总结：
2. 碰到文件上传的地方 都可以试试上传一个一句话木马

size: 出版社

---

1. 任意密码修改：
3. 逻辑漏洞也不需要刻意去挖
4. 找第一类站的时候 就会碰到很多有逻辑漏洞的站点
6. 例如：
7. 用户在修改自己密码的时候可以将modid改成其他 即可修改他人的账号密码
9. 在登录账号1的情况下，修改密码，将modid=383改成384即可修改账户2的密码

1. 任意用户资料修改：
3. 注册登录一个账号后 可以修改自己资料的同时抓个返回包
4. 同时修改返回包里的userid传参就可以修改到别人的资料

1. 逻辑漏洞是锻炼自己的最好选择
3. 为什么：
4. 实操性强 步骤多
6. 步骤如下：任意用户密码修改
7. 首先得创建个a用户，找到某个功能点，测试某个功能点，抓包分析某个功能点，测试某个功能点
8. 其次创建b用户，验证a用户是否能影响到b用户
10. 这么多个步骤下来 你提交漏洞盒子不得写上个50个字左右？图片不得5-10个左右
11. 所以这样下来 漏洞报告质量不是优就是良 你的写作水平也会提升不少 技术也就不用多说了
14. 但是我还要说一点：
15. 就是再写漏洞复现的时候一定要把测试的账号密码写到步骤当中
16. 写上a用户的账户密码 和b用户的账号密码
17. 为什么啊？ 答：因为这样更容易得优 漏洞盒子审核人员得验证你的漏洞 所以他们还得注册 你直接提供给他这样不是更好
18. 这个是我成绩

1. 逻辑漏洞全靠操作性 不像XSS一样 直接输入一个alert(1) 步骤最多也就三步吧？1.打开URL 2.输入alert(1) 3.弹窗1
2. 然后你直接提交盒子 报告质量肯定不是良就是差
3. ps：
4. 虽然说xss不是良就是差 偶尔盒子还说xss漏洞选择性接受 但是上分的话 确实挺有用的

1. 其实跟逻辑漏洞差不多 最简单的就是修改Cookie

---

1. 例如：
2. 账户A通过修改cookie可以登录到账户B的账号上
4. 这样是不是就把ceshi1用户名，修改成ceshi2 就可以登录到这个账号上了

1. 例如：
2. 验证码绕过：
3. 本身不是漏洞 但是只要造成危害就是漏洞 就可以提交
4. 比如
5. 爆破到管理员账号密码
7. 任意用户注册：
8. 1，比如说有一个注册点，没有验证码就直接可以注册
9. 那么这种漏洞直接可以用Bp跑包 注册几万个账号都没问题
11. 2，跟随验证码绕过
12. 如果验证码可以绕过 那就跟没有一样
13. 只要抓个包不放 或者放完包之后直接照着抄新的验证码就行
15. 短信轰炸漏洞：
16. 有些人可能没听说过这种漏洞，还在想短信轰炸？
17. 这个不就是那个代刷网嘛 只要掏钱就就可以帮你短信轰炸某某人一天
19. 这个其实就是一个手机号可以在短时间内接受多条验证码
21. 有的站点1分钟才能让你发一次
22. 有的站点直接没有限制，但这个还是看运气，我运气好就碰到了这种站点
24. 比如：

---

1. 直接输入手机号

1. 随后点击获取验证码的时候 Burp抓一个返回包
2. 放到单独发包

1. Go之后会显示1
2. 这个时候多Go几次 手机短信就噌噌的响

1. 密码找回漏洞：
2. 这个漏洞我也不说什么 你们直接看漏洞复现
4. a用户在知道b用户的邮箱号的情况下，可以修改b用户的密码
5. a用户在个人中心 修改邮箱 收到验证码后填写验证码 修改返回包
6. 将a用户的邮箱号改成b的用户名，这样b用户的邮箱就改成a用户的邮箱号了
7. 然后a用户 进行找回密码 就可以将b用户的密码进行修改
9. 是不是听的有点绕 我也感觉 逻辑漏洞就是太麻烦了 但是确实写得好 加的分多
11. 因为当时可能网络有点问题 最后一张截图没有截上去
12. 所以导致盒子不给通过 真的是太烦了 就像自己女朋友丢了一样 步骤多 我也懒得重新提交了

1. ps：我没有女朋友

到这里漏洞分享也就结束了 所以总结一下重点

1. 这个地方确实存在SQL注入 但是莫名奇妙的报错 试试盲注
3. 网站有装安全狗 试试bypass
5. 输入了敏感字符从而被封ip 重启路由器
7. 没挖到漏洞不要紧 在URL后面加一个amdin 说不定进了后台管理 又有可以测试的地方了

篇外之自研小脚本：py3

1. 有时候手动测试SQL注入的时候 站点的字段非常多 输入20-60个字段 从而把手累死？
2. 这个时候 该怎么办呢 别急 专门为这种情况做了一个小脚本
3. 如下：
5. a = 0
6. b = "and 1=2 union select "
7. password = input("请输入要生成的字段数：")
8. print(b,end="")
9. for i in range(0,int(password)):
10. a += 1
11. print(int(a),end=",")

---

1. 测试截图：

1. 如何使用：

---

1. #第一步：首先在自己的浏览器打开谷歌镜像站 ：链接在脚本里
2. #第二步：启动脚本 脚本启动后会在目录下自动生成一个url.txt 收集到的URL会保存到该文件

---

1. import requests
2. from lxml import etree
3. import random
4. open('url.txt','w')
5. url = "https://g.luciaz.me/search?q=%s&num=100" #这里是谷歌语法
6. head = {
7. 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36'
8. }
9. for i in range(10): #爬取多少页
10. #随机数
11. password = random.randint(20, 200)
12. #谷歌语法
13. pyload = 'inurl:.php?id=%s 公司'
14. print("当前随机数为：%s" % password)
15. #随机数放到谷歌语法里
16. data_url = format(pyload%password)
17. #谷歌语法放到URL里
18. new_url = format(url%data_url)
19. shuju = requests.get(url=new_url, headers=head).text
20. tree = etree.HTML(shuju)
21. div = tree.xpath('//*[@id="rso"]/div[@class="g"]')
22. for data in div:
23. lm = data.xpath('./div/div/div[1]/a/@href')[0]
24. print(lm)
25. with open("url.txt", "a", encoding="utf-8") as ww:
26. ww.write(lm + "n")
27. print("当前已完成第%d页"%i)

---

1. 测试截图：

1. 注意：有时候这个镜像站可能不稳定 导致爬取不成功报错 这种情况就得随机应变了

---

别人不会告诉你的秘密：

1. 可以将脚本内的谷歌语法后面的公司改成：技术支持
2. 然后在通过超级sql批量检测漏洞 x幸运的话你就找到通用型漏洞了
3. 直接提交补天 拿一百元不香吗 也可以提交cnvd

漏洞盒子自提交脚本

具体请看这两篇文章：

1. 1、https://bbs.zkaq.cn/t/5904.html
2. 2、https://bbs.zkaq.cn/t/5911.html

ps：挖漏洞完全不累 躺着把漏洞提交了 想冲榜的过来看

公益SRC：

1. 通常需要1-10天的时间等待厂商认领及处理。
2. 也就是说一个漏洞 审核期间+漏洞确认期间 大概10天左右
4. 上分最好的时间点：
5. 上个月的25-28号-当月的20号
7. 20号以后呢？：
8. 可以把漏洞都攒起来 到25-28号左右一块提交 然后下个月的排行榜上绝对有你的名字
10. 复现步骤很重要 一定要多写 一个SQL注入在加一个优的报告质量 最多可以加8分
12. 一个SQL注入 良的报告质量加4分 这就不用我多说了吧
14. 漏洞简述和修复方案也很重要 有很多人在修复方案直接写一个 问开发
15. 这样可能就与优的报告质量无缘了 具体怎么写 参考下面的模板：

---

1. 反射型XSS：
3. 漏洞简述：
4. 反射型XSS攻击，危害：通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击
6. 修复方案：
7. 白名单过滤 根据白名单的标签和属性对数据进行过滤，以此来对可执行的脚本进行清除(如script标签，img标签的onerror属性等)
9. SQL注入：
11. 漏洞简述：
12. （1）攻击者未经授权可以访问数据库中的数据，盗取用户的隐私以及个人信息，造成用户的信息泄露。
13. （2）可以对数据库的数据进行增加或删除操作，例如私自添加或删除管理员账号。
14. （3）如果网站目录存在写入权限，可以写入网页木马。攻击者进而可以对网页进行篡改，发布一些违法信息等。
15. （4）经过提权等步骤，服务器最高权限被攻击者获取。攻击者可以远程控制服务器，安装后门，得以修改或控制操作系统。
17. 修复方案：
18. 严格限制变量类型，比如整型变量就采用intval()函数过滤，数据库中的存储字段必须对应为int型

---

1. 这些都是我在网上复制粘贴的 因为我就常挖这两个漏洞 就这两个漏洞的模板了
2. 如果是其他的漏洞 可以自行百度 问题不大

---

1. ps：推荐大家学python编程语言 不会python真的很麻烦 相信我就对了 以后有你偷笑的时候

以上就是我都挖洞经验分享

1. 我的经验也就这些了 希望小伙伴们可以少走很多弯路 学习更多知识
2. 为了我们的黑客梦 加油

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.