来源:http://mp.weixin.qq.com/s?__biz=MzAxMjk1NTExNw==&mid=2247483936&idx=1&sn=f06b6ee7932fffe2ff5aede93f1ecc2a&chksm=9ba8bea2acdf37b431655ff6b34f971694c78fbabc89cf3bb9623f169938e29ef567de9caaac#rd

第一次参加众测是在某云上,那时候记得人挺多的,每次我参加项目都在周五却很不巧都有事,回头一两个小时再去看结果就被大牛们挖的七七八八了。

最近的这么些天在先知漏洞平台上参与了几期项目有高中低危的漏洞,然后也发现了一些好玩的事情,就来给大家分享点!

首先参加众测一定要这个项目没有人参加过的这是对于小白的要求,为什么?下面会有讲到,众测一定要专注单身三十年,不然你的手速能跟得上别人么?像我就已经二十多年了(虽然还没二十岁)然后你要专门去搞你擅长的挖掘点,比如说你会挖掘存储型XSS漏洞,那么你就专门去找一些可以影响用户的,可以收到cookie等等更多玩法的点。

尽量不要做到装(弹)逼(窗)目的,这样一来也不会影响用户,像这样一般的存储XSS漏洞都在中危左右,具体价格看厂商而定了~

假设你遇到厂商是*.a.com的那么这时候要运用你平常搞站的思路去扩散思维搞,这样范围也广。一般这个时候我都是去撸后台,直接字典操起来

自己收藏的字典一定要够丰富规则,这样像主站的后台别人没有你的牛逼,你直接遍历用户,密码设置个123456的,万一里面还真有用户是用这样的密码呢?其实这个密码足以了

当然了,我不建议小白们去挖SQL注入,为什么?一般情况下都是接入了waf的,你平常没有什么经验,在众测上去搞一个疑似SQL注入的点还需要绕过的时间,这多麻烦啊。多找点逻辑漏洞,善用Google、Bing、Baidu的搜索方法。

前面也讲到为什么要求这个项目你是第一个参加上的,因为别人没挖过你先挖了,吃肉的机会还是大一些的,如果捡漏就要靠90%的运气了。

在众测上千万不要把厂商的站点搞挂了,像你搞个什么sqlmap有些站点是承受不了的,你一开没搞几分钟站点就挂了!

如果a.com下有m端的子站点也可以去搞一搞,很多情况下m端的防御没有主站重视,产生的问题也会比较多些。

还有遇到像意见反馈这样的地方,先盲打(写payload进去)之后,再去挖别的点,这时候静静地等待收cookie,如果晚上打了第二天十二点之前有的话就有,没有的话可能就是没有了。

搞众测的过程当中最好在之前先收集到一些第三方组件的脚本,这样辅助验证是否存在xx远程命令执行漏洞等等,栗子有:Jenkins “Java 反序列化”过程远程命令执行漏洞、Joomla 1.5 - 3.4版本远程命令执行漏洞等等,这些一般如果存在拿到服务器的话应该都会给严重级别的!!!

还有很多时候不要搞自己知道的点,这有可能别人也知道,但你也不妨可以去提交试试,看看手速能不能比别人快。上次就是一个点,我跟另外一个小伙伴同一分钟内提交的,只不过比他快了几秒,然后漏洞就是给我确认的了~

期待下一次我的发车~~

源链接

Hacking more

...