前言

在第一军团这么久了，参加了几次“SRC赏金活动”，挖掘了一个比较有意思的漏洞，这里来说明下。

开始

发现一个URL跳转点：http://xxx.com/?src=http://x.xxx.com/但这里明显做了过滤，采用的方式大概是正则匹配类的白名单

Fuzz可用特殊符号

URL跳转没什么好说的，除了常规的跳转Bypass，可能其他师傅就没辙了，但在这里我觉得还需要做一层Fuzz，那就是对可用特殊符号的Fuzz

URL编码的方式：%变量1变量2，变量1、2填充的payload就是交叉式的：0-9 a-z

等待一会，结果出来了，我发现了一个可用特殊符号：%7c 也就是管道符合|

组合http://xxx.com/?src=http://x.xxx.com|www.baidu.com，但浏览器提示内容损坏：

很明显，浏览器在抗议，不支持这种格式的解析访问，我们需要进一步进行组合测试。

组合拳Bypass

经过测试发现可用特殊符号后是可以添加任意字符串的，也就说可以利用URL的完整格式绕过，也就是%40这个符号（@）

绕过浏览器损坏提示进行跳转：

也就是最后的地址：http://xxx.com/?src=http://x.xxx.com%7c%40baidu.com

结尾

第一军团 - 米斯特安全团队内部组织的“军事化制度”小队，专注攻克赏金平台。

感谢观赏，关于WebFuzzing的思路之前在文章中总结过（欢迎观看）：https://gh0st.cn/archives/2019-11-11/1。

本文始发于微信公众号（米斯特安全团队）：赏金技巧 | URL跳转Bypass案例