免责声明道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责本文所提供的工具仅用于学习,禁止用于其他!!!前言src推荐刚入门的新手首选公益src如漏洞盒子、补天src,因为漏洞盒子收录范围广,只要是国内的站点都收入,相比其它src平台挖掘难度非常适合新手。
后续可以尝试先从一些小的src厂商入手首先是熟能生巧,我一开始挖洞的时候,是先从教育edusrc,cnvd平台进行挖掘漏洞,但这种打法如果放到src,我打的很吃力,因为前者基本都是拿网上公开的nday打,而后者全是技巧和思路。
在挖掘src的同时,必须读懂src平台的规则,千万不得越红线,同时也要熟悉src平台的收录规则,收录那些漏洞,不然挖到后发现被忽略,这样就前功尽弃了前期信息收集企业相关信息收集企查查 (https://www.qcc.com)
天眼查 (https://www.tianyancha.com/)启信宝(https://www.qixin.com/)企查查、天眼查淘宝都有那种一天的会员对于我们信息收集其实已经够用,个人更喜欢用企查查,因为它能一键导出域名,还可以直接查看企业关联的子公司,比较方便。
主要查询的信息:一般大的 src 都有许多子公司, 企查查可以在所属集团中查看该集团下子公司,并且可以导出查看同电话企业基本都是子公司查看股份穿透图,一般来说控股超过 50% 的子公司的漏洞 SRC 收录的可能性都比较大。
查看企业下的 app、小程序、还有品牌的资产,直接在搜索引擎里搜索品牌可能会有意想不到的收获(找到一些平常收集不到的资产)PS: 一般来说 100% 的全资子公司 src 漏洞是一定会收的,其他子公司资产可能需要与 src 审核沟通(扯皮)。
站长之家:http://whois.chinaz.com/邮箱反查、注册人反查、电话反查推荐个项目:https://github.com/code-scan/BroDomain 兄弟域名查询https://www.qimai.cn/。
七麦数据,可以查到企业下一些比较冷门的 app信息整理当我们通过各种手段对挖掘的企业进行信息收集后,我们大致能得到以下有用的信息主公司及分公司、子公司下所有归属的网站域名信息;主公司及分公司、子公司下所有的专利品牌和开发的一些独立系统。
主公司及分公司、子公司下所有的 app 资产和微信小程序之后我们需要对这些信息进行归纳和整理, 比如哪些是该公司的主资产,哪些是边缘资产,哪些资产看上去比较冷门,我们是可以重点关注和进行深入挖掘的子域名收集和网站信息收集
子域名的话,对于我来说 oneforall 和 xray 的功能已经足够强大了,对于一些主域名来说,如果想要充分的收集子域名,最好用特大号字典进行最少三层的子域名爆破这块还是 layer 子域名挖掘机不错。
通过 github 收集子域名先分享一个姿势,很多时候 github 上已经有热心的师傅分享了自己跑出的子域名,所以可以先到 github 找一找有没有现成的可以白嫖,没啥好语法,纯靠大海捞针oneforAll。
https://github.com/shmilylty/OneForAll需要到配置文件里填写 api 接口信息,根据需求修改其他的配置,比如可以配置一些常见的端口,当做简单的端口扫描工具用命令python oneforall.py --targets ./domain.txt run。
python oneforall.py --targets ./domain.txt --brute true run我实际操作发现在挂了外网代理和没挂代理时跑出来的子域有时候差的有点大,想收集的全一点的师傅可以不挂代理和挂代理都跑一遍。
然后去重一下xray子域名探测需要高级版,可以自己写个十几行的代码进行批量探测,也可以直接用这个项目里的代码,https://github.com/timwhitez/rad-xray 命令改一下能批量探测子域名,一般 5 到 10 分钟一个子域。
Goby官网:https://gobies.org/因为之前一直在用 masscan+nmap 的方式进行端口扫描,用这个项目:https://github.com/hellogoldsnakeman/masnmapscan-V1.0
前一段时间接触到goby,感觉可视化的工具用起来还是舒服,可以短时间对一些常见端口进行扫描,还能对网站进行指纹识别,报告看起来挺舒服的因为在实际的端口扫描过程,由于 cdn 或者防火墙的原因,所以没必要一上来就全端口扫描,听一位师傅分享的经验,比如当扫描到 22 端口开放时,说明这个 ip 没有 cdn 保护,对于这种 ip 我们可以提取出来,然后重点进行全端口扫描,有收获的可能性会比较大。
BBScan猪猪侠师傅写的工具,速度很快,简单的目录扫描,主要是可以探测 C 段下面的很多资产,扩充攻击面项目地址:https://github.com/lijiejie/BBScanhttps://github.com/yhy0/BBScan (添加了 springboot 的泄露探测)。
可以对域名、ip、C 段进行探测快速探测管理后台进行端口探测探测敏感信息泄露可以自定义扫描规则report 下看报告, 误报肯定会很多,但 C 段下很可能会有意想不到的资产js 信息收集主要是爬取网站的敏感 js 文件,js 中能收集到的信息:。
增加攻击面 (url、域名)敏感信息 (密码、API 密钥、加密方式)代码中的潜在危险函数操作具有已知漏洞的框架常用的工具速度很快的 jsfinder https://github.com/Threezh1/JSFinder
xray 的 rad 爬虫 https://github.com/chaitin/rad能够匹配敏感信息的JSINFO-SCAN:https://github.com/p1g3/JSINFO-SCAN捡中低危漏洞的一些技巧
刚开始挖 src 往往不知道从哪下手,首先我们其实可以从各个 src 平台提交漏洞下拉框里看一看收取的漏洞类型然后针对性的去学习如何挖掘,比如某 src 收取的漏洞类型, 我们就可以针对性的学习对应的挖掘技巧。
框架注入 明文密码传输 表单破解漏洞 IIS短文件名泄露 老旧过期的HTTPS服务 跨目录下载漏洞 目录可浏览漏洞 LFI本地文件包含漏洞 RFI远程文件包含漏洞 HTTP拒绝服务攻击 弱口令登录 CSRF跨站点请求伪造
Flash点击劫持 SQL注入漏洞 XSS跨站脚本漏洞 文件上传漏洞 解析漏洞:IIS解析漏洞 解析漏洞:Apache解析漏洞 Cookies注入漏洞 越权访问漏洞 命令执行漏洞 Struts2远程代码执行漏洞
业务逻辑漏洞 用户隐私泄露 敏感信息泄漏(运维) 敏感信息泄漏(研发) 敏感文件泄漏(运维)(配置) 敏感文件泄漏(运维)(权限) 未验证的重定向和传递 Flash跨域访问资源 测试文件泄漏 开启危险的HTTP方法
HTTP参数污染 Unicode编码绕过 源码泄漏 后台目录泄漏 链接注入漏洞 SSRF服务器请求伪造 jsonp劫持学习完基础的漏洞类型后,我们可以多看一些实战的漏洞报告比如 wooyun 漏洞库和 hackone 上的报告。
乌云漏洞库:https://wooyun.x10sec.org/hackone 报告:https://pan.baidu.com/s/1jPUSuoERSIDw2zCKZ0xTjA 提取码: 2klt登录框处常见的一些漏洞
在我们通过对目标的前期信息收集之后,首当其冲的往往就是各种奇奇怪怪的登录框,一般来说,大型的企业为了减少安全问题,一般都是用统一的登录接口登录不同的旗下网站,但是一些后台系统,运维系统,或者一些边缘业务使用了独立的注册、登录体系,这个时候往往就会存在安全问题。
现在还能用的接码平台:http://www.114sim.com/https://yunduanxin.net/China-Phone-Number/https://www.materialtools.com/
绕过限制导致的爆破、撞库、用户遍历漏洞最常见的一种漏洞,尤其是一些老旧的后台系统,可能验证码抓个包就绕过去了下面是一些常见的绕过姿势:验证码不刷新验证码抓包绕过验证码删除绕过验证码置空绕过修改 xff 头绕过: 推荐个 burp 插件,https://github.com/TheKingOfDuck/burpFakeIP。
账号后加空格绕过账号错误次数限制一般来说如果只是简单的验证码绕过,一般都是低危,所以一般能够绕过验证码的情况,都要尝试爆破一波账号密码弱口令漏洞没有验证码或者验证码可以绕过的情况直接上一手字典爆破,当然还是有一些小技巧:。
比如可以设置固定的弱密码,比如 123456,然后爆破账号比如可以首先收集一些网站的信息针对性的制作字典,比如域名,员工邮箱,企业名称等等, 推荐工具: 白鹿社工字典生成:https://github.com/HongLuDianXue/BaiLu-SED-Tool。
爆破的关键在于字典,常见的字典 github 上都有, 但是普通的弱口令现在确实不太好用了,要想提高成功的机率,还是需要碰一碰强密码,分享先知的文章:https://xz.aliyun.com/t/7823
https://github.com/huyuanzhi2/password_brute_dictionary有验证码且无法绕过的情况github 直接找员工账号邮箱,密码源码或者 js 文件查找线索,邮箱,或者加密的账号密码。
特定系统或者 cms,搜索引擎搜索默认管理员或者测试密码手动尝试常见弱口令注册、登录、找回密码处的短信 \ 邮箱轰炸漏洞这个也挺常见的,一般可以对特定用户进行轰炸的是一定会收的,横向轰炸能够消耗资源的随缘收。
常见的绕过姿势:加空格绕过加任意字母绕过前面加 86 绕过xff 头伪造 ip 绕过逻辑缺陷的导致的任意用户注册、登录、找回密码漏洞因为这方面漏洞一旦出现基本都是高危,所以挖掘的时候类似的思路我就不细说了, freebuf 上有任意用户密码重置的系列文章, 类似漏洞思路其实相差不大:
https://www.freebuf.com/author/yangyangwithgnu常见的信息泄露漏洞敏感信息泄露的范围很广,我认为一般就是两大类,因为配置错误或者管理不当导致的企业内部信息泄露。
因为逻辑缺陷导致的用户资料泄露 (遍历)github 导致的信息泄露P 牛知识星球里分享的 github 搜索关键词:https://twitter.com/obheda12/status/1316513838716551169。
github子域名监控项目:https://github.com/FeeiCN/GSIL常见的泄露内容:乌云上有一些案例,可以看一看员工内部邮箱、登录账号、密码企业的一些内部系统域名、ip 泄露企业网站的工程代码、网站源码泄露,可以通过员工邮箱关键词查找,要注意日期,好几年的大概率不收了。
配置错误导致的信息泄露包含的类型很多,最重要的是有一份足够强大的字典和一个好用的扫描器在实际进行探测的时候,对于大批量的域名来说,更喜欢先用一份精简的小字典先进行快速扫描比如:备份文件的小字典springboot 泄露的小字典。
网站后台的小字典比较出名的扫描器我们常见的 dirsearch、dirmap,dirbuster 等等可视化的比如 TEST404 系列、御剑扫描器使用体验也不错注: 信息泄露中比较常见的 swagger-ui 服务泄露,可能直接提交会忽略或者低危,别忘了进一步测试泄露的接口功能。
越权导致的信息泄露很多时候越权来来去去都是更改一个参数的问题, 更多的时候还是要细心的一个一个测业务功能,注意观察和测试操作参数和对象参数,操作参数一般是增删改查对应特定业务的敏感操作、对象参数一般是用户或者物品等。
推荐几个 burp 插件:未授权检测:https://github.com/theLSA/burp-unauth-checker敏感参数提取:https://github.com/theLSA/burp-sensitive-param-extractor
信息提取:https://github.com/theLSA/burp-info-extractor插件的作用基本还是帮助我们快速定位敏感参数,实际测试还是需要我们一个包一个包仔细的分析程序逻辑常见的一些越权情况:。
基于用户 ID 的越权基于功能对象 ID 的越权基于上传对象 ID 的越权基于未授权访问的越权基于功能地址的越权基于接口身份的越权常见漏洞挖掘技巧文件上传嵌套xss语句svg、pdf、html、xml
alert("testxss"
); *svg
r="40"stroke="black"stroke-width="2"fill="red" />alert(1)
version=”1.1" baseProfile=”full”xmlns=”http://www.w3.org/2000/svg">
5050,0" fill=”#009901" stroke=”#004400"/>alert(document.cookie);
>存在文件上传的地方, 嵌套xss语句将准备好了的图片xss上传,imge/png ,html.html.pngsvg重定向
路径可控
当上传的路径时候,如果不能上传解析路径,则可以尝试是否存路径可控则原来是user_apply_file修改后上传的路径为1/23/456/user_app_file绕过黑名单phtml、pht、php、php3、php4、php5
后缀大小写此方法适合windows环境下,如果是Php,可以当做php来解析后缀名空绕过那么php和php ,当然是不⼀样的# filename="shell.png "后缀名为点绕过#**windows**中有一个特性,会自动去掉后缀名的
------WebKitFormBoundary0BAvi6S3ETKPlJw4Content-Disposition: form-data; name="upload_file"; filename=
"shell.php."Content-Type: image/png------WebKitFormBoundary0BAvi6S3ETKPlJw4
::$DATA#windows文件流绕过------WebKitFormBoundary6iEJqkiHLxaG6mxMContent-Disposition: form-data; name="upload_file"
; filename="shell.php:DATA"Content-Type: image/png------WebKitFormBoundary6iEJqkiHLxaG6mxM
构造文件后缀绕过#file_ext = strrchr($file_name, .);是检测末尾最后是否是. (很明显是为了防御双写.)我们可以写⼀个空------WebKitFormBoundary3b4MZBZoOnzEpoeC
Content-Disposition: form-data; name="upload_file"; filename="shell.php. ."Content-Type: image/png
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。