文章讲述了如何通过不同途径获取网站源码,包括CMS指纹识别、云悉平台、管理员备份习惯、配置错误导致的GIT和SVN泄漏、DS_Store和composer.json文件。强调了源码获取对于白盒测试和安全评估的重要性,并提供了GitHub资源搜索策略。
第七节笔记
#知识点:
1、CMS指纹识别源码获取方式
2、习惯&配置&特性等获取方式
3、托管资产平台资源搜索监控
#详细点:
参考:https://www.secpulse.com/archives/124398.html(这个网站里面就是本节课所讲的各个案例,没讲到的基本即使被淘汰的)
源码泄漏原因:
1、从源码本身的特性入口
2、从管理员不好的习惯入口
3、从管理员不好的配置入口
4、从管理员不好的意识入口
5、从管理员资源信息搜集入口
源码泄漏集合:
composer.json
git源码泄露
svn源码泄露
hg源码泄漏
网站备份压缩文件
WEB-INF/web.xml 泄露
DS_Store 文件泄露
SWP 文件泄露
CVS泄露
Bzr泄露
GitHub源码泄漏
本节课依旧是信息打点,上节课我们讲解了一些获取网站五件套(自己起的名字,比较顺口),唯独网站源码比较难获得,或则我们知道网站的cms去上网下载。下面我会提供5个方法(其实也是案例)当我们不知道网站的cms时,如何获取,获取之后上网下载,进行白盒测试,渗透就容易的多了。(这个云悉不是的,后面五个是,云悉可以直接获取那种开源的,闭源和自主研发的一般不能获取,需要用到后面的五种方法。)
特别注意:后面的五种方法是不知道网站源码也不知道cms,如果直接就可以获得源码就没有cms的事了,但这个源码一般不能直接获取,所以我们试着获取到cms,然后如果这个cms是开源的,我们可以通过获取到的cms(也就是名字),直接上网搜然后下载下来,直接就是白盒测试了。而后面的五种方法就是我们不知到cms时的方法。
直接获取-CMS识别-云悉指纹识别平台
利用云悉这个网站(注册比较麻烦)可以直接去扫到网站的一些信息,包括网站的源码,但对于闭源售卖,自主研发的是扫不到的。当我们扫到源码,就可以下载下来,在本地搭建进行白盒测试以及代码审计。
习惯不好-备份文件-某黑阔博客源码泄漏
而闭源和自主研发的,我们可以痛过网站管理者不好的备份习惯去获取。比如www.xiaodi8.com这个网站,它的网站的内容都是放在www.xiaodi8.com这个文件夹下包括源码,如果备份是在www.xiaodi8.com的里面对内容全部备份,那么备份的zip文件也在www.xiaodi8.com下,是可以通过一些扫描工具(例如7kbscan)扫到,从而下载下来。但当我们是对www.xiaodi8.com这个文件夹进行备份。那么备份的zip文件是和www.xiaodi8.com同级别。不能通过www.xiaodi8.com访问到的。
配置不当-GIT泄漏-某程序员博客源码泄漏
当网站创造者写完网站之后,都会急于上传而忽视.git这个目录。我们可以利用7kbscan扫描该网站存在的东西。或则你可以直接在网站后面加上.git看看是否可以直接访问。
返回结果为403,之前讲过对于文件夹,403代表存在,404代表不存在。而文件则是200存在,404不存在。所以这里发现该文件夹存在。我们便可以通过GitHack这个脚本去下载下来
之后我们便可以通过.git获得关于源码的一些信息。
配置不当-SVN泄漏-某国外小伙子源码泄漏
svn泄露和git案例差不多,同样的方法,我就不再演示。可以自己实操一遍,最后也是可以获得一些源码信息。
配置不当-DS_Store泄漏-某开发Mac源码泄漏
这个也是一样利用脚本把网站源码信息下载下来。
后面少个e
PHP特性-composer.json泄漏-某直接搭建源码泄漏
这里的composer.josn就像是一个网站说明性文件,里面可能会包括源码。
上面的四个是可以直接试的,而最后一个是php的特性,只有当网站是php编写的时候才会有。
总结
上面五个案例就是当你找不到cms时的一些方法,还有一点很重要,你要渗透的目标的场景,比如这个网站本身就是一个违法网站,你就不要去百度了,因为是搜不到的,可以去bing搜。还是那句话,白的去白的地方搜,黑的去黑的地方搜。
识别cms的意义:第一个是获取程序源码,第二个是看这个程序曾经在网上有没有爆过漏洞。
下面是两个案例:
下载配合-WEB-INF泄露-RoarCTF-2019-EasyJava
这个案例现在只适用于ctf中,因为需要配合文件下载漏洞,在真实情况中就算你获取到了WEB-INF/web.xml,后续也完不成。而在ctf中,比如这个题,里面就有下载漏洞。
我们可以复制这个help的链接打开,这里上面的也要改成WEB-INF/web.xml,不然访问不到。
先下载WEB-INF/web.xml这个文件然后下载下来,推断class文件路径,然后下载。
这个就是class文件的路径。我们下载下来用java打开。就直接得到falg了。
这个题在真实情况一般弄不了,打ctf可以看一下。
最后也是比较通用的方法,就是我们万能的github
GITHUB资源搜索:
in:name test #仓库标题搜索含有关键字
in:descripton test #仓库描述搜索含有关键字
in:readme test #Readme文件搜素含有关键字
stars:>3000 test #stars数量大于3000的搜索关键字
stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字
forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素
license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字
user:test in:name test #组合搜索,用户名test的标题含有test的
关键字配合谷歌搜索:
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
会搜很重要,下面这几个案例自己去搜一下。
给大家演示一个xiaodi8.com的信息打点;
直接复制这个网站到github,咱也不知道能搜到啥,但还是要尝试。结果就就搜到了zblog的源码,也就是这个xiaodi8博客的源码。
在这个网站下面还有个邮箱,它有两种情况,一个是管理者留下管理网站的信息,一个是网站的创造者留下的。也可以去搜索。(我们再结合查ip,看他在哪个平台搭建的网站,万一这个邮箱就是登录平台用的邮箱,然后进行爆破或则找回,是不是就可以登上这个搭建服务器的平台,然后为所欲为呢。这是我自己想的,感觉也是一种思路。)我们有时候用扫描工具也会扫出来邮箱。现在我们是人工去扫,以后可以用脚本去扫描,就算没有扫到,也能把这个脚本做成一个.exe程序,放到服务器监控着,一旦有信息,便会给你发消息。还可以对新上传的漏洞的exp进行监控。当然这都是以后的。慢慢来。
扫一扫
255
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
