本文约4600字,阅读约需12分钟。
===
0x00 信息收集
在SRC漏洞挖掘过程中,保证在最短时间内提交”有效”漏洞,自我总结漏洞数量主要来源于三个方面:
一、资产收集;
二、学会使用自动化工具;
三、通过数据包仔细审查业务逻辑。
资产收集作为漏洞挖掘第一步,资产收集的广度,会直接影响漏洞的数量,所以资产收集尤为重要。
这里简单介绍一下资产收集的有关小工具以及方法。
1.1子域名收集
子域名收集推荐几个比较好用的工具:
一、Oneforall
项目链接:https://github.com/shmilylty/OneForAll,Oneforall是一款强大的子域名收集工具,适用于SRC资产收集。
使用方法:python3 oneforall.py --target baidu.com run
二、在线子域名收集工具
地址:https://phpinfo.me/domain
在线子域名收集在漏洞挖掘过程中快速收集到第一手资产信息(可能会有以外收获)。
1.2.搜索引擎
挖洞过程中好的搜索引擎可以更快的获取高质量的资产信息,这里推荐两款用的比较多的也是比较好用的资产搜索引擎。
一、Fofa
地址:https://fofa.so/
Fofa支持与谷歌黑客语法类似的搜索语法,在网页内可以查询检索语句的使用方法,这里就不做过多的介绍。
二、谷歌黑客语法
Google是一个强大的搜索引擎;而对于黑客而言,则可能是一款绝佳的黑客工具。正因为google的检索能力强大,黑客可以构造特殊的关键字语法,使用Google搜索互联网上的相关隐私信息。
这里简单介绍一下谷歌黑客语法的使用技巧,仅作简单介绍,详细使用建议自行百度。
intitle:搜索网页标题中包含有特定字符的网页。例如输入“intitle:上科互联”,这样网页标题中带有上科互联的网页会被搜索出来。
inurl:搜索包含有特定字符的URL。例如输入“inurl:/admin_login”,则可以找到带有admin_login字符的URL,通常这类网址是管理员后台的登录网址。
intext:搜索网页正文内容中的指定字符,例如输入“intext:上科互联”。这个语法类似我们平时在某些网站中使用的“文章内容搜索”功能。
Filetype:搜索指定类型的文件。例如输入“filetype:PDF”,将返回PDF文档。
Site:找到与指定网站有联系的URL。例如输入“Site:www.sunghost.cn”。所有和这个网站有联系的URL都会被显示。
1.3.端口扫描
端口扫描也是常规信息收集中最重要的一项,在之前的很多的SRC漏洞挖掘过程中,很多时候遇到同一个ip开放不同的端口,对应不同的WEB服务,很多时候漏洞往往存在一些花里胡哨的端口服务上。
这里推荐一款端口扫描工具Nmap,Nmap功能比较强大,不仅可以支持端口扫描,资产存存活探测也可以使用其自带的漏洞探测脚本,对漏洞进行探测。
Nmap
下载地址:https://nmap.org/,这里推荐使用图形化界面的,也可以使用现在网上的一些端口扫描工具如小米范端口扫描工具等等。
1.4.指纹识别
通过指纹识别可以快速了解搭建网站使用的什么内容管理系统,以及网站使用的框架信息(CMS:织梦、帝国、XXXOA等等;网站框架:Nginx、Spring boot、Apache、IIS等等)。
这里推荐两款比较简单方便的指纹识别工具。
一、潮汐指纹库
潮汐指纹识别库是由,tide安全团队开发的一款开源的指纹识别库。
地址:http://finger.tidesec.net/
二、火狐浏览器自带插件Wappalyzer
下载地址:https://addons.mozilla.org/zh-CN/firefox/search/?q=wappalyzer
1.5.目录扫描
通过对网站url进行扫描可以收集一些网站的资产信息,在后续的漏洞挖掘过程中提供更多有价值的信息(如:网站源码文件、网站安装页面、网站后台管理页面、接口信息页面(swagger ui、api接口等等)、未授权访问页面)。
这里推荐一款常用的目录扫描工具。
Dirsearch
项目地址:https://github.com/maurosoria/dirsearch
使用方法:python3 dirsearch.py -u http://www.baidu.com -t 30线程可以自行定义,也可以使用”-h”,查看使用方法。
===
0x01 漏洞探测&漏洞验证
2.1.漏洞扫描
在漏洞探测方面可以使用扫描器(但是得根据客户需求),一般主流的漏洞扫描器如:Goby、Xray、Awvs、Nessus,这里可以使用Goby同时做信息收集和漏洞探测(信息收集功能会比漏洞探测功能效果好)。
2.2.Burp
Burp在漏洞挖掘中使用最广泛,也是最重要的工具之一,可以用于漏洞验证以及漏洞挖掘,由于开源,之前在挖掘漏洞中遇到一些比较有意思的漏洞,这里就用文字简述一下。
越权:越权漏洞简单分为垂直越权、水平越权,可以修改数据包中的一些参数如uid、id等等,遇到过一个比较有意思的垂直越权可以在低权限登录状态下通过修改数据包中路径信息可以访问到高权限的内容。
逻辑漏洞挖掘:逻辑漏洞,通过数据包查看业务逻辑,检查是否存在绕过正常的业务逻辑对正常的业务系统造成影响,分享一个之前某银行业务逻辑漏洞挖掘,漏洞点存在于选择支付方式可以通过修改数据包参数绕过指纹支付和脸部识别支付,逻辑漏洞挖掘推荐B站观看”月神”逻辑漏洞挖掘
这里简单介绍几个比较好用的Burp插件:Fakeip(可以在请求头中加入XFF头)、chunked-coding-converter-master(分片上传可以绕过部分waf如安全狗等等)许多漏洞检测插件。
2.3.其它漏洞探测工具
一、Sqlmap
当手工测试发现某功能点存在SQL注入时可以直接采用sqlmap工具进行快速注入查看数据库表结构。
常用的sqlmap参数:–is-dba、–dbs、–batch、-v 3、–level 5、–temper “绕过waf模块”、–threads=10、–current-user、–dbms=“MySQL”、-r
sqlmap中常用的绕过waf的temper脚本:
apostrophemask.py
用utf8代替引号
equaltolike.py
like代替等号
space2dash.py
绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’)
greatest.py
绕过过滤 >
space2hash.py
空格替换为#号 随机字符串以及换行符
apostrophenulencode.py
绕过过滤双引号,替换字符和双引号。
halfversionedmorekeywords.py
当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论
space2mssqlblank.py
空格替换为其它空符号
base64encode.py
用base64编码替换
modsecurityversioned.py
过滤空格,包含完整的查询版本注释
space2mysqlblank.py
空格替换其它空白符号(mysql)
between.py
用between替换大于号(>)
space2mysqldash.py
替换空格字符(’ ‘)(’ -‘)后跟一个破折号注释一个新行(’ n’)
space2plus.py
用+替换空格
二、Msf
MSF为kali自带的渗透测试工具,功能十分强大,该工具可以用作漏洞验证以及漏洞探测工具,也可以用于后渗透,这里简单说一下MSF可以作为漏洞探测以及漏洞验证非常使用的工具之一如(各种未授权访问(Rsync)、弱口令爆破、Oracle Tns远程监听、MS17-010、CVE-2019-0708等等)
三、开源漏洞探测工具
Fastjson漏洞探测可以使用网上公开的Poc也可以使用Burp插件进行探测。
Shiro反序列化漏洞可以使用github上开源的飞鸿shiro漏洞探测工具。
ThinkPhp可以使用雷石实验室研发的自动检测工具,针对ThinkPhp5.0版本的RCE漏洞可以使用github上的一些开源工具。
这里开源的漏洞探测工具非常多,建议通过关注各个安全团队的微信公众号,完善工具。
总结:
漏洞挖掘方法非常多样,发现漏洞可能是扫描器直接出的漏洞,也有可能是一个不起眼的信息泄露引起的高危漏洞(如swagger UI页面,可以导致调试API接口引发更大的安全漏洞),但是总结两个点:
一、在漏洞挖掘过程中细心查看每一个功能点以及数据包逻辑才是王道。
二、学会利用自动化工具,最后信息收集才是最重要的老铁。
===
0x02 实践
3.1.之前漏洞挖掘简述
刚开始挖掘漏洞确实可以从公益SRC或者EDU下手,可以先锻炼一下挖洞速度,已经挖洞思路,这里简单介绍一下之前的挖过的公益SRC和一些厂商的专属漏洞。
常规端口漏洞(21、22、389、879、2181、2049、3306、3368、6379、8XXX、9100、9200)
未授权访问&弱口令
在SRC挖掘过程中往往最先考虑的就是端口漏洞,因为未授权访问、弱口令等漏洞危害性比较大,通常定级也是中高危的样子,而且,挖掘也是比较方便快捷。
某厂商存在大量弱口令:
SQL****注入类:
SQL注入类漏洞在漏洞挖掘过程中也是很常见的,可以用自己的py脚本结合sqlmap批量跑,但是在综测项目中这种办法并不可行,因为不够快,捞不到钱。还是尝试手工测试比较靠谱。
之前遇到一个比较有意思的sql注入,该注入的回显信息是根据响应体的的字节长度来判断的,返回正确跟返回错误的值固定且不一样。
命令执行类:
命令执行可以根据指纹识别查看当前网站的CMS以及网站所用到的框架、组件,获取信息后可以使用目前公开的POC进行测试是否存在RCE漏洞。
这里记一次之前遇到的一个ThinkPhp5.X框架命令执行漏洞,好不容易找到一个框架漏洞可惜是公益的SRC没有钱,留下了不争气的眼泪。
之前在安恒的雷神众测注册过账号,但是漏洞提交量有限,可以简单看一下,其实专属SRC提交漏洞赚取赏金,其实就是,资产收集,做的好,还有就是挖掘漏洞的时候细心加上耐心,最最重要的一点还是漏洞提交速度,做全世界最快的男人。
还有就是逻辑漏洞,目前逻辑漏洞也是赏金占比比较大的一类漏洞,这里记一次之前某银行的逻辑漏洞挖掘过程,结局比较拉跨,因为当时只是看到了后台的一些数据以及参数,以为跟后台数据有交互就可以定个中危,没想到绕过的仅仅只是前端的校验。
这里直接填写数据然后抓包修改两次返回包,可以绕过前端登录验证直接进入后台。
只是当时没有测试里面的参数,修改密码什么的也没有测试,看来还是得细心才行要,银行的漏洞,低危和中危往往是两个概念,来自金钱的诱惑。
网安接私活的渠道
1.挖SRC漏洞
很多地方都可以去挖SRC漏洞赚钱,合法挖到漏洞后提交到平台,平台就会给予你奖励,最多一个高危漏洞一万多。
综合性平台比如补天、漏洞盒子和CNVD等等,独家SRC也有很多,比如说华为、阿里、腾讯、360等等。
国外的漏洞也可以去挖,国外给的奖励会更高,但除了技术要过硬之外,你还得会英语能沟通交流。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.接安全测试委托
在公司允许的情况下去对公司产品进行网安检测和渗透测试,发现漏洞后提交给修复方案和渗透测试报告,这个我经常去程序员客栈和一品威客等IT兼职平台去接。
相比较于个人私下接活,平台会更加方便一些,不用跟乙方扯来扯去,而且不用害怕甲方卷钱跑路。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.投稿
像比较大的网安平台会不定期举办有奖投稿活动,比如说freebuff和CSDN等等平台,CSDN我没弄过,但freebuff我倒是经常由投稿,奖金有几百到几千不等。
做了那么多年网安,只要我想说,那绝对有很多故事可以讲的。
提醒大家一个点:网安的私活不是一次性的,很多以前合作过的甲方都会在后面有事的时候有偿来找我,所以人脉这一块也很重要。
4.参加CTF
通俗易懂的讲,CTF也叫作网络安全攻防大赛。这类大赛一般都是由政府安全部门、从事信息安全的企业、高校等等单位主办的。目的也很简单,一般都是为了加强国家网络信息安全建设,挖掘网络信息安全人才。当然你夺旗之后,也会有对应的奖金。
.
但关键是你的技术得学得到位!
接下来我给大家讲讲黑客/网安这一块该学哪些东西。
`黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
