【0day挖掘】Rotor Goddess 轻松爆出过万资产漏洞
原文链接: https://mp.weixin.qq.com/s?__biz=Mzg4NDg2NTM3NQ==&mid=2247484933&idx=1&sn=f500975fd1a9a25ea4573fcea6363636
【0day挖掘】Rotor Goddess 轻松爆出过万资产漏洞
表哥带我 2025-07-11 08:47
“这里是雪山盟,感谢各位师傅长期的支持与帮助”
感谢名单:http://zhuanzi.com.cn/thank_you_list.html
————————————————————
距离上次发布1.1.0版本的转子女神工具以及过去了一周多,反响还是蛮不错的,用的师傅也不少,BUG也修了特别多,可以说是入不敷出了!
版本也是成功从1.1.0更新到了1.1.6,师傅都称作“转子116”,因为116版本的稳定性比较强,扫描效果距离以前的版本可以说一个天一个地,废话讲完,初衷未变。
“希望这个工具能够名扬四海!”
————————————————————
①首先是0day的出货方式:
说来这个出洞的方式,真是想象不到的简单和顺利
HXW师傅在扫描一个站点的时候,抱着测试工具的心态,却发现了一个可疑的URL
URL比较敏感,并且提示了“可能存在SQL注入”
进入后却发现是信息泄露,这里可以水个低危洞,将type的值更改
意外爆出了XSS漏洞,第二个低危到手,这位师傅又尝试了SQL注入
发现存在SQL延时注入
最终sqlmap一把梭
后面审计框架的时候发现是个0day,意外之喜,一查fofa和quake
发现影响的资产太多了,师傅正想提交到cnvd但是发现资产不够5000w,就此作罢,当作一次挖洞经验的增加吧!
②第二位师傅的出货方式:
来自。师傅的投稿
本来在群里发布工具的相关事宜,聊到其他师傅的出货,这位师傅表示他也同样爆出了个JWT的漏洞
师傅在进行站点扫描的时候,发现其中一个URL比较可疑,爆出了JWT令牌泄露
就立马在威胁匹配里查看参数
发现泄露了JWT
使用该JWT请求页面发现成功返回权限数据
③第三位师傅的出货方式:
来自NY师傅的投稿
转子女神扫描站点的时候发现有很多的身份证泄露
无压力的出货信息泄露
以上就到此为止,有需要更详细更多的情报包括转子女神工具的都可以私信我,公众号不方便发太多
往期推荐
扫码关注我们
微信公众号:表哥带我
本文供稿:雪山乘客