0x00 前言
本文僅供學習分享用途,嚴禁用于違法用途
在搞站的時候,經過一頓操作後隻發現了一堆低危,過了一段時間看看Xray,居然發現一個XSS
嗯~ Xray 真香!
随後進行複現,無奈多次嘗試無果,好玩的是每換一個Payload,流量經過 Xray ,Xray 還會繼續報這個漏洞,并且每次Payload都不一樣,這感情好,直接用 Xray 給的 Payload 吧,嘗試了半天,居然沒有一個成功的,當時 Xray 的界面是這樣的
雖然沒有一個成功複現的,但是這看着還是挺爽的,一會兒報個漏洞一會兒報個漏洞的
0x01 Fuzz大法好
屢試不行之後便想到了Fuzz,那先去GitHub上找個字典
https://github.com/TheKingOfDuck/fuzzDicts
有了字典之後,上Burp
兩千多的字典最後隻有3個Payload響應200,不管了,先一個一個試試吧,那就先來試試第一個Payload
"+alert(16)+"
哎呀呀,不得不說,妙啊!
之後我再試另外幾個 Payload 就不管用了
啧啧,Xray 真香、Fuzz 真香。
更多資訊歡迎關注我的微信公衆号:TeamsSix
原文連結:https://www.teamssix.com/year/200310-221008.html