【网络安全|白帽子】-SRC漏洞挖掘之道，月入2W+

开门见山！一个 SRC 的网络安全工程师（白帽子）挖 SRC 的两年经验分享~

基本都是文字阐述，希望能给同样想学技术挖洞或在挖洞ing的伙伴们带来一点新收获哦。

前期信息收集:

还是那句老话, 渗透测试的本质是信息收集，对于没有 0day 的弱鸡选手来说，挖 SRC 感觉更像是对企业的资产梳理，我们往往需要花很长的时间去做信息收集，收集与此公司相关的信息，包括企业的分公司，全资子公司，网站域名、手机 app, 微信小程序，企业专利品牌信息，企业邮箱，电话等等，对于很多万人挖的 src 来说，你收集到了别人没有收集过的资产，往往离挖到漏洞就不远了。

现在很多白帽子（网安工程师/渗透测试工程师）都会在下班之后利用业余时间去补天之类的漏洞赏金平台挖漏洞，用技术合法给企业找出威胁存在，拿到漏洞赏金。

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

企业相关信息收集

企查查 (https://www.qcc.com）
天眼查 (https://www.tianyancha.com/)
启信宝（https://www.qixin.com/)

企查查、天眼查淘宝都有那种一天的会员。对于我们信息收集其实已经够用，个人更喜欢用企查查，因为它能一键导出域名，还可以直接查看企业关联的子公司，比较方便。

主要查询的信息:
一般大的 src 都有许多子公司, 企查查可以在所属集团中查看该集团下子公司，并且可以导出。

1.查看同电话企业基本都是子公司。
2查看股份穿透图，一般来说控股超过 50% 的子公司的漏洞 SRC 收录的可能性都比较大。
3.查看企业下的 app、小程序、还有品牌的资产，
4.直接在搜索引擎里搜索品牌可能会有意想不到的收获。（找到一些平常收集不到的资产)

【PS: 一般来说 100% 的全资子公司 src 漏洞是一定会收的，其他子公司资产可能需要与 src 审核沟通（扯皮)。】

• 站长之家:http://whois.chinaz.com/
• 邮箱反查、注册人反查、电话反查。
• 推荐个项目:https://github.com/code-scan/BroDomain 兄弟域名查询
• https://www.qimai.cn/ 七麦数据，可以查到企业下一些比较冷门的 app。

信息整理
当我们通过各种手段对挖掘的企业进行信息收集后，我们大致能得到以下有用的信息

主公司及分公司、子公司下所有归属的网站域名信息；
主公司及分公司、子公司下所有的专利品牌和开发的一些独立系统。
主公司及分公司、子公司下所有的 app 资产和微信小程序。

之后我们需要对这些信息进行归纳和整理, 比如哪些是该公司的主资产，哪些是边缘资产，哪些资产看上去比较冷门，我们是可以重点关注和进行深入挖掘的。

子域名收集和网站信息收集

子域名的话，对于我来说 oneforall 和 xray 的功能已经足够强大了，对于一些主域名来说，如果想要充分的收集子域名，最好用特大号字典进行最少三层的子域名爆破。这块还是 layer 子域名挖掘机不错。

通过 github 收集子域名

先分享一个姿势，很多时候 github 上已经有热心的师傅分享了自己跑出的子域名，所以可以先到 github 找一找有没有现成的可以白嫖，没啥好语法，纯靠大海捞针。。

oneforAll
https://github.com/shmilylty/OneForAll

需要到配置文件里填写 api 接口信息，
根据需求修改其他的配置，比如可以配置一些常见的端口，当做简单的端口扫描工具用。

命令

python oneforall.py --targets ./domain.txt run
python oneforall.py --targets ./domain.txt  --brute true run

我实际操作发现在挂了外网代理和没挂代理时跑出来的子域有时候差的有点大，想收集的全一点的师傅可以不挂代理和挂代理都跑一遍。然后去重一下。

xray

子域名探测需要高级版，可以自己写个十几行的代码进行批量探测，也可以直接用这个项目里的代码，
https://github.com/timwhitez/rad-xray 命令改一下能批量探测子域名，一般 5 到 10 分钟一个子域。

Goby

官网:https://gobies.org/
因为之前一直在用 masscan+nmap 的方式进行端口扫描，用这个项目:https://github.com/hellogoldsnakeman/masnmapscan-V1.0

前一段时间接触到goby，感觉可视化的工具用起来还是舒服，可以短时间对一些常见端口进行扫描，还能对网站进行指纹识别，报告看起来挺舒服的。

因为在实际的端口扫描过程，由于 cdn 或者防火墙的原因，所以没必要一上来就全端口扫描，听一位师傅分享的经验，比如当扫描到 22 端口开放时，说明这个 ip 没有 cdn 保护，对于这种 ip 我们可以提取出来，然后重点进行全端口扫描，有收获的可能性会比较大。

BBScan

猪猪侠师傅写的工具，速度很快，简单的目录扫描，主要是可以探测 C 段下面的很多资产，扩充攻击面。

项目地址:
https://github.com/lijiejie/BBScan
https://github.com/yhy0/BBScan （添加了 springboot 的泄露探测）

• 可以对域名、ip、C 段进行探测
• 快速探测管理后台
• 进行端口探测
• 探测敏感信息泄露
• 可以自定义扫描规则

report 下看报告, 误报肯定会很多，但 C 段下很可能会有意想不到的资产。

js 信息收集

主要是爬取网站的敏感 js 文件，js 中能收集到的信息:

• 增加攻击面 (url、域名)
• 敏感信息 (密码、API 密钥、加密方式)
• 代码中的潜在危险函数操作
• 具有已知漏洞的框架

常用的工具

速度很快的 jsfinder https://github.com/Threezh1/JSFinder
xray 的 rad 爬虫 https://github.com/chaitin/rad
能够匹配敏感信息的 JSINFO-SCAN：https://github.com/p1g3/JSINFO-SCAN

捡中低危漏洞的一些技巧：

刚开始挖 src 往往不知道从哪下手，首先我们其实可以从各个 src 平台提交漏洞下拉框里看一看收取的漏洞类型。然后针对性的去学习如何挖掘，比如某 src 收取的漏洞类型, 我们就可以针对性的学习对应的挖掘技巧。

学习完基础的漏洞类型后，我们可以多看一些实战的漏洞报告。比如 wooyun 漏洞库和 hackone 上的报告。

乌云漏洞库:https://wooyun.x10sec.org/
hackone 报告：https://pan.baidu.com/s/1jPUSuoERSIDw2zCKZ0xTjA 提取码: 2klt

能看到这，相信你也有了兴趣，那不如就看看这份教学，自己实操一下哦！！

弱口令漏洞

没有验证码或者验证码可以绕过的情况

直接上一手字典爆破，当然还是有一些小技巧:

• 比如可以设置固定的弱密码，比如 123456，然后爆破账号。
• 比如可以首先收集一些网站的信息针对性的制作字典，比如域名，员工邮箱，企业名称等等, 推荐工具: 白鹿社工字典生
  成:https://github.com/HongLuDianXue/BaiLu-SED-Tool

常见的信息泄露漏洞

敏感信息泄露的范围很广，我认为一般就是两大类，

• 因为配置错误或者管理不当导致的企业内部信息泄露。
• 因为逻辑缺陷导致的用户资料泄露 (遍历)。

github 导致的信息泄露

P 牛知识星球里分享的 github 搜索关键词:https://twitter.com/obheda12/status/1316513838716551169
github 子域名监控项目:https://github.com/FeeiCN/GSIL

常见的泄露内容:

• 乌云上有一些案例，可以看一看
• 员工内部邮箱、登录账号、密码。
• 企业的一些内部系统域名、ip 泄露。
• 企业网站的工程代码、网站源码泄露，可以通过员工邮箱关键词查找，要注意日期，好几年的大概率不收了。

配置错误导致的信息泄露

包含的类型很多，最重要的是有一份足够强大的字典和一个好用的扫描器。
我在实际进行探测的时候，对于大批量的域名来说，更喜欢先用一份精简的小字典先进行快速扫描

比如:

• 备份文件的小字典
• springboot 泄露的小字典
• 网站后台的小字典
• 比较出名的扫描器我们常见的dirsearch、dirmap，dirbuster 等等

。
可视化的比如 TEST404 系列、御剑扫描器使用体验也不错。

注: 信息泄露中比较常见的 swagger-ui 服务泄露，可能直接提交会忽略或者低危，别忘了进一步测试泄露的接口功能。

任意文件上传漏洞

这个洞遇到的也比较多，一般来说是后端没有限制上传文件的类型。但是上传的脚本文件也不会解析。也就没有办法 getshell。(很多 SRC 对于上传到 cdn 云服务器的任意文件上传是忽略的)。
上传含有 xss 代码的 html 文件，造成存储型 xss(如果上传到了 cdn 服务器之类的大概率忽略)。
上传恶意文件进行钓鱼
尝试在上传的文件名前加…/ 进行目录穿越。
可以结合其他漏洞比如 CORS 漏洞扩大危害。
文件上传的常见的绕过姿势应该也挺熟悉的了。。，实际测试的时候发现在进行申请企业、个人认证的时候，上传文件处常常有这个问题。

XSS 漏洞
老熟人了，不多说了，常见的姿势大家应该都知道。分享一个我学 XSS 的文章:
https://wizardforcel.gitbooks.io/xss-naxienian/content/index.html

最后：

如果你也想学会白帽的漏洞技术，可以看看我自己录制的190节视频教程，从0教你怎么学会网络攻防，我自己挖漏洞的经验和技巧都在里面有讲解，粉丝都可以无偿分享。


不过我得提醒大家几句，技术不是三五天就能学会的东西，这些教程学完可以达到黑客高手的水平，想打CTF比赛或者挖漏洞都没有问题，关键是你能否坚持学完它。做人要有梦想，不然和咸鱼有什么区别，加油吧！