声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
防走失:https://gugesay.com/archives/4267
不想错过任何消息?设置星标↓ ↓ ↓
假设以 example.com 为目标网站:
domain="example.com"
然后会发现下方有数百个 Favicons:
单击任意一个图标,哈希值会自动添加到现有 dork 中:
domain="example.com" && icon_hash="xxxxxxxxxx"
此时在左侧可以选择对存在云 WAF 的站点进行过滤:
然后针对非 443端口的 HTTPS 站点进行再次过滤:
domain="example.com" && protocol="https" && port!="443"domain="example.com" && protocol="https" && port!="443" && port!="80"
再针对非 80 端口的 HTTP 站点进行过滤:
domain="example.com" && protocol="http" && port!="80"domain="example.com" && protocol="http" && port!="80" && port!="443"
搜索云存储桶
domain="example.com" && body="ListBucketResult"
如果名称分配了关键字 “public”,那它就基本没什么用了。
<ListBucketResult xmlns="http://s3.amazonaws.com/doc/...."><Name>....public.....</Name>其他情况的话,我们可以分析目标是否为刻意公开还是无意公开。
现实案例:
https://osintteam.blog/p4-bug-in-healthcare-company-979db17df4dd
端点或其它类似搜索
body="http_request_duration_seconds_sum"body="http_requests_in_flight"body="http_responses_total"body="http_request_duration_seconds_bucket"body="http_request_duration_seconds_count"body="flask_http_request_duration_seconds_sum"body="python_gc_objects_uncollectable_total"body="process_virtual_memory_bytes"body="process_resident_memory_bytes"body="http_request_duration_highr_seconds_bucket"body="kasiopea_assignment_total"body="by_path_counter_total"#combine with below using && operatorbody="GET"body="POST"body="PUT"body="/api"body="/auth"body="password"body="security"body="roles"body="groups"body="/v1"body="/v2"domain="example.com"#extrasbody="ghc_gcdetails_elapsed_seconds"body="ghc_gcdetails_par_max_copied_bytes"body="ghc_max_mem_in_use_bytes"body="ghc_gcs_total"关键路径与端点测试
注册功能寻找
body="register" && body="login"body="register" && body="login" && domain="example.com"
API 端点
body="/api/v1" && domain="example.com"body="/api/v2" && domain="example.com"
管理员端点
body="/admin" && domain="example.com"
信息泄露
body="any file name that leads to info disc" && domain="example.com"举例:
body="config.txt" && domain="example.com"
JS 中的 API 密钥
body="any_api_key_name_you_know" && domain="example.com"#example for algolia api keybody="algolia_api_key" && domain="example.com"body="algolia_application_id" && domain="example.com"
将任何字符串与历史已知漏洞端点匹配
比如,以前你知道 sub2.sub1.example.tld 通过 “xyz” 参数容易受到 RXSS 的攻击,那么可以查看端点的页面源代码,匹配一些唯一的关键字、短语、字符串、函数、对象或变量名称。
body="keyword1" && body="keyword2" && domain="example.com"
为了方便找到历史易受攻击的端点,可以通过 HackerOne 披露的报告或 OpenBugBounty 进行了搜索:
#hackeronesite:hackerone.com inurl:reports "domain.tld"#openbugbountyhttps://www.openbugbounty.org/reports/domain/example.com
你学到了吗?
原文:https://medium.com/legionhunters/fofa-dorking-for-bug-hunters-a35c80bbab6e
- END -
加入星球,随时交流:
(会员统一定价):128元/年(0.35元/天)
感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~
原文始发于微信公众号(骨哥说事):漏洞挖掘之 FOFA 语法技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论