轉載自:
補天付費廠商漏洞挖掘小技巧
1、子域名收集
不要想着去擼主站,主站一出來幾乎被人輪了個遍,跟大牛搶肉吃,難,放棄。
所以我們一般都是百度找子域名 例如www.xxxxx.com是主站,關鍵字 inurl:xxxxx.com。如果這樣能找到不少子域名。
1.1 補天不收的漏洞
1、反射XSS
2、CSRF
3、目錄遍歷
4、二進制(據補天審核說,他們沒人看的懂,沒法審,所以不收)
5、密碼處的驗證碼爆破
6、http.sys遠程代碼執行漏洞
7、URL爆出了數據庫
8、jquery version泄露
9、絕對路徑泄露
10、Slow attack滿攻擊
11、短文件漏洞
12、DOS不收
2、嘗試常用漏洞
2.1 爆破
找到一個系統,如果沒驗證碼,那么爆破吧,得到一發賬號,進后台才有意思。
不怕神一樣的隊友,就怕豬一般的對手~
2.2 CMS通用漏洞
如果網站是利用某CMS建站的,可以去試試CMS通用漏洞,特別是如果有前台高危漏洞,那就很有意思。
比如dedeCMS爆管理員賬號密碼的,siteserver后台密碼重置漏洞等等經典案例。有時候用起來,事半功倍。
2.3 SQL注入漏洞
有人網站是第三方開發的,第三方的水平又不行,所到之處,全是注入。
2.4 XSS漏洞
補天不收反射XSS,所以我們得找存儲型,根據挖付費的經驗,能彈個框就行了。哪怕是self-XSS。
如果是盲打的話,少數網站做了cookie的httponly。這樣JS是無法讀取到cookie的,難不成我們就真沒辦法了?教大家一個猥瑣的小技巧,XSS的本身是在網頁上插入你自己的html代碼,但我干嘛非要用JS讀取你cookie,我可以構造一個表單讓你填啊~理由是登錄過期、二次驗證啥的,這不就得到賬號密碼了么?
2.5 越權和邏輯漏洞
2.5.1 越權
付費廠商多見於I
D參數,比如typeID、OrderID等等,這里只是舉例。更改ID,可以越權看其他ID的信息。還有AWVS掃目錄,有的后台未授權訪問,可以利用。
2.5.2 邏輯漏洞
比如四位驗證碼,沒做錯誤次數限制,0000-9999一共一萬種搭配方式,burp跑一下,很快就得到了。或者支付邏輯漏洞(多見於商城或者網站賬戶充值),任 意用戶密碼重置(補天說這是高危漏洞)
2.6 任意文件上傳/下載
任意文件上傳,找個上傳點,上傳你的文(mu)件(ma),這時候啥00截斷啊,解析漏洞啊~霹靂啪啦往臉上糊啊~
任意文件下載,找數據庫配置文件唄。如果有網站備份(一般是壓縮包),嘿嘿嘿~趕緊看看里面有沒有數據庫啊
2.7 非web問題
IIS的解析漏洞、struts2框架的命令執行漏洞、java反序列化命令執行漏洞、等等等等。。。。。
3、我想說的
有人問我為什么不再說一點其他的漏洞,我只想用一張圖來表示。
所用到的圖片,全部是復制i春秋的圖片地址。如果圖片不在說明被管理員刪了,或者移動了位置
我自己會在挖洞過程中補充以上未提到的點。。
最后說句
2.14
記錄下,今天凌晨,瘋狂刷補天的公益SRC中的大學和學院。
因為前不久看了一個漏洞,感覺出現的學校還是很多的,並且正方的使用也是很多。
結果發現:大部分學校用
青果,URP,新、舊版正方 的CMS比較多,感覺可以三分天下了,其他的都是些大學配合當地公司的或者學校牛逼自己寫一個。
並且善用百度,谷歌的搜索語言,對查找是一種捷徑。
再提下,剛才的CMS如果有源碼更好了,但是如果沒有,自己一個個試。(PS:我感覺還是要一個個試,因為這種商業應用不可能有源碼公開的)
其次,今天,搜一個學校時,盡然搜到了學校網站的管理后台,這是我第一次遇見,一般會把這種重要的站點放在內網里面,結果放在外網。。hhhh
不過,不清楚是什么,有可能對IP加了白名單吧,用戶名和密碼都沒做過濾,萬能密碼嘗試過后,會提示
錯誤:62
不知啥意思啦。。。
並且,對於這種刷洞的,那個學校心理要有點number,什么985,211就不要搭理了,因為自己根本沒他們學校的學生牛逼哈。
今天情人節,你和誰過呢?
並曬下近期的挖洞情況。。
2018.3.1
放一個爬補天公益SRC的廠商URL的爬蟲
1 import json 2 import requests 3 import time 4 from bs4 import BeautifulSoup 5 6 def spider(): 7 ''' 8 爬取所有公益廠商的ID 9 保存為id.txt 10 :return: 11 ''' 12 headers = { 13 'Host': 'butian.360.cn', 14 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0', 15 'Accept': 'application/json, text/javascript, */*; q=0.01', 16 'Accept-Language': 'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3', 17 'Accept-Encoding': 'gzip, deflate', 18 'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8', 19 'X-Requested-With': 'XMLHttpRequest', 20 'Referer': 'http://butian.360.cn/Reward/pub//Message/send', 21 'Cookie': #放你登錄時的cookies 22 'Connection': 'keep-alive' 23 } 24 for i in range(1,149): 25 data={ 26 'p': i, 27 'token': '' 28 } 29 time.sleep(3) 30 try: 31 res = requests.post('http://butian.360.cn/Reward/pub/Message/send', data=data,headers=headers,timeout=(4,20)) 32 except requests.exceptions.ConnectionError as identifier: 33 print(identifier) 34 allResult = {} 35 allResult = json.loads(res.text) 36 currentPage = str(allResult['data']['current']) 37 currentNum = str(len(allResult['data']['list'])) 38 print('正在獲取第' + currentPage + '頁廠商數據') 39 print('本頁共有' + currentNum + '條廠商') 40 for num in range(int(currentNum)): 41 print('廠商名字:'+allResult['data']['list'][int(num)]['company_name']+'\t\t廠商類型:'+allResult\ 42 ['data']['list'][int(num)]['industry']+'\t\t廠商ID:'+allResult['data']['list'][int(num)]['company_id']) 43 base='http://butian.360.cn/Loo/submit?cid=' 44 with open('id.txt','a') as f: 45 f.write(base+allResult['data']['list'][int(num)]['company_id']+'\n') 46 def Url(): 47 ''' 48 遍歷所有的ID 49 取得對應的域名 50 保存為target.txt 51 :return: 52 ''' 53 headers={ 54 'Host':'butian.360.cn', 55 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0', 56 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8', 57 'Accept-Language':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3', 58 'Accept-Encoding': 'gzip, deflate', 59 'Referer':'http://butian.360.cn/Reward/pub', 60 'Cookie': #放你登錄時的cookies 61 'Connection':'keep-alive', 62 'Upgrade-Insecure-Requests': '1', 63 'Cache-Control':'max-age=0' 64 } 65 with open('id.txt','r') as f: 66 for target in f.readlines(): 67 target=target.strip() 68 getUrl=requests.get(target,headers=headers,timeout=(4,20)) 69 result=getUrl.text 70 info=BeautifulSoup(result,'lxml') 71 time.sleep(5) 72 url=info.find(name='input', attrs={"name":"host"}) 73 name = info.find(name='input', attrs={"name": "company_name"}) 74 lastUrl=url.attrs['value'] 75 print('廠商:' + name.attrs['value'] + '\t網址:' + url.attrs['value']) 76 with open('target.txt','a') as t: 77 t.write(lastUrl+'\n') 78 time.sleep(5) 79 print('The target is right!') 80 if __name__=='__main__': 81 82 data = { 83 's': '1', 84 'p': '1', 85 'token': '' 86 } 87 res = requests.post('http://butian.360.cn/Reward/pub/Message/send', data=data) 88 allResult = {} 89 allResult = json.loads(res.text) 90 allPages = str(allResult['data']['count']) 91 print('共' + allPages + '頁') 92 spider() 93 Url()