【渗透实例】Fuzz大法好啊


0x00 前言

本文仅供学习分享用途,严禁用于违法用途

在搞站的时候,经过一顿操作后只发现了一堆低危,过了一段时间看看Xray,居然发现一个XSS

嗯~ Xray 真香!

随后进行复现,无奈多次尝试无果,好玩的是每换一个Payload,流量经过 Xray ,Xray 还会继续报这个漏洞,并且每次Payload都不一样,这感情好,直接用 Xray 给的 Payload 吧,尝试了半天,居然没有一个成功的,当时 Xray 的界面是这样的

虽然没有一个成功复现的,但是这看着还是挺爽的,一会儿报个漏洞一会儿报个漏洞的

0x01 Fuzz大法好

屡试不行之后便想到了Fuzz,那先去GitHub上找个字典

https://github.com/TheKingOfDuck/fuzzDicts

有了字典之后,上Burp

两千多的字典最后只有3个Payload响应200,不管了,先一个一个试试吧,那就先来试试第一个Payload

"+alert(16)+"

哎呀呀,不得不说,妙啊!

之后我再试另外几个 Payload 就不管用了

啧啧,Xray 真香、Fuzz 真香。

更多信息欢迎关注我的微信公众号:TeamsSix


文章作者: Teams Six
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Teams Six !
评论
 上一篇
【工具分享】Pigat v2.0正式发布 【工具分享】Pigat v2.0正式发布
前言Pigat(Passive Intelligence Gathering Aggregation Tool)被动信息收集聚合工具,该工具通过爬取目标URL在第三方网站比如备案查询网站、子域名查询网站的结果来对目标进行被动信息收集。 开发
2020-03-21
下一篇 
【Django 学习笔记】5、常用功能 【Django 学习笔记】5、常用功能
0x00 案例实现 创建的项目名称为BookManager,创建应用名称为Book,完成图书信息的维护 访问图书信息列表127.0.0.1:8000/booklist,并且点击每个图书能够跳转到对应图书人物信息界面 0x01 代码实现
2020-03-04
  目录