学习笔记
Source
Edit
History

偶然学到的渗透小tips

Catalogue
  1. 1. 简单套路
  2. 2. 骚操作
    1. 2.1. APP
    2. 2.2. 小程序
    3. 2.3. Web
    4. 2.4. IOT
  3. 3. 记录一下看到过的burp插件
  4. 4. 记录一下其他脚本工具

(人菜就要多学习)

简单套路

  1. 当请求为数据更新操作(添加、删除、修改等),且请求包没添加(或可绕过)Referer来源地址、随机CSRF-token时,考虑CSRF/XSRF攻击(burp自动生成payload)
  2. 上传位置可以尝试上传html,验证有无html解析(毕竟万年碰不到一个能传马的点了!),危害为钓鱼、挂马、挂黑页等。 
    1
    2
    3
    4
    5
    <html>
        <body>
              <script>alert(1)</script>
        </body>
    </html>
  3. 测越权,burp插件携带权限cookie批量请求值得拥有(实现该功能的插件很多,比如Autorize)。
  4. JS经常泄漏各种API接口(找链接: https://github.com/Threezh1/JSFinder ,也有非链接需要自己构造包含函数名称及参数的数据包的JS,被动搜索浏览器插件: https://github.com/momosecurity/FindSomething )。
  5. 链接里带有URL的点可以试试改成任意URL测重定向(大概算是依靠链接前半部分造成链接可信任,结合短链接等伪装手法,重定向钓鱼)。

骚操作

APP

  1. 逆向分析YYDS!
  2. APP脱壳找证书,放进抓包工具反编译流量(适用于流量内容不可见的情况,具体教程找找看)。
  3. adb logcat >> x.txt输出本地日志,可能包含本机用户使用APP时输入的敏感信息。
  4. 快速并发数据包,可以实现批量发送短信、刷赞等。(burp-turbo)
  5. 将拦截的响应包内容从fail改为success可以实现验证码绕过等(是原理清楚但从来没改过响应包的我),证明校验为前端校验。
  6. Activity劫持(涉及安卓端命令调用了,目测是比较冷门可挖的)。
  7. LaunchAnyWhere (https://chan-shaw.github.io/2020/04/12/LaunchAnyWhere%E7%BB%95%E8%BF%87%E5%8E%9F%E7%90%86/)
  8. (这是一条防御办法)当APP做证书绑定后,可以在被抓包时不发送业务请求(但据说有办法仍然实现抓包)。
    1. 确认有效的绕过办法1:VirtualXposed + JustTrustMe,已验证可绕过防抓包加固,使用VirtualXposed是否可以绕过防root加固,目前没有样本,暂时未知。
  9. 以下是奇怪的root后替换人脸数据的工具:
    1. Magisk https://github.com/topjohnwu/Magisk
    2. Riru https://github.com/RikkaApps/Riru
    3. LSPosed https://github.com/LSPosed/LSPosed
    4. virtualcam https://github.com/w2016561536/android_virtual_cam

小程序

  1. 发送请求参数被加密时,可解包找公钥。(这怕是不太能防?还是说果然RSA/RSA2不靠谱?)
  2. 绕过批量发送限制:在参数末尾每次多加一个对整体无作用的+(猜测只有当参数在请求末端可行?)。
  3. 测批量时,不仅可以考虑本网站用户的手机号被批量的问题,也可以加上非注册用户手机号实现批量轰炸的情况(扩大漏洞影响)。

Web

  1. api接口无法直接访问时(如swagger),把脚本配置文件(如dirsearch)的host改成网站IP。
  2. 注意邮件、短信等携带的链接、短链接内容,可能存在参数可枚举的问题。
  3. 必应、雅虎、搜狗、谷歌、etc,没准就有一个可以搜到奇怪的带权限链接。
  4. 地址接口 
    1
    2
    3
    4
    5
    /fonts/
    /pdf/
    /js/
    /css/
    /img/
  5. 浏览器开插件模拟手机端。
  6. 在线客服处总容易出现奇怪的越权/敏感信息泄漏。
  7. 抓包改发送的邮件内容搞钓鱼(有意思的思路)。
  8. HTTP请求走私(看来还是该多打CTF)
  9. ip/a/b 会强制跳转到登录口,但ip/a/c不会,则使用ip/a/c/../b绕过跳转。访问xx.jsp会强制转到访问aa.jsp,访问aa.jsp/../../(../多个)/xx.jsp实现绕过过滤。
  10. 查询参数留空,可能会出现一次性相应所有查询内容的问题。(遇到过几次,和同事讨论过,大概是因为留空自动从where里排除了,导致全量查询。算是平时比较难去想到和测试的点。)
  11. LDAP 未授权访问 (相比于危害来说,利用未免太过轻松。。。)
  12. HOST碰撞(利用难度低,危害高,技术较新)
  13. API接口服务漏洞,关键词wsdl
  14. 分块传输 bypass waf/ waf缓冲区溢出
  15. dirsearch与burp的简单联动,利用burp的proxy发送请求。但经过与dirsearch作者的讨论,目前dirsearch并不能支持与burp很紧密的联动(指从burp实时获取扫描目录等),有见过导出burp目录给dirsearch做扫描的插件,但与我理想中的实时扫描二级/多级目录下敏感目录的功能不太相符。 
    1
    python3 dirsearch.py -u http://whateveraa.test -w $HOME/Desktop/pentest/SecLists/Discovery/Web-Content/merged-no-duplicates.txt -e php -x 301,400,403 --proxy http://127.0.0.1:8080

IOT

  1. MQTT协议越权/未授权

记录一下看到过的burp插件

  1. JSON Decoder 解码JSON(新burp不是可以直接美化json?)
  2. MarkINFO (https://github.com/UUUUnotfound/BurpSuite-Extender-MarkInfo) 高亮敏感信息
  3. highlighter-and-extractor
  4. APIKit (https://github.com/API-Security/APIKit)
  5. BurpCrypto
  6. BurpDomain (https://github.com/404SEC/BurpDomain)
  7. turbo
  8. Logger++
  9. Bypass WAF
  10. JSON Web Tokens
  11. lazyCSRF https://github.com/tkmru/lazyCSRF/releases/
  12. ActiveScan++
  13. LinkFinder

记录一下其他脚本工具

  1. reverse-sourcemap 还原jsmap (可以用curl命令对付不能直接下载的js.map文件)
  2. wxappUnpacker
  3. 微信小程序加解密脚本:http://82.156.16.24/index.php/2021/05/26/4.html
  4. HOST碰撞 https://github.com/fofapro/Hosts_scan
  5. fiddler(虽然不是脚本工具但是有看到某个大佬用这个抓包,可能有特别之处)