米斯特白帽培训讲义 挖掘篇
米斯特白帽培训讲义 挖掘篇
讲师:gh0stkey
整理:飞龙
协议:CC BY-NC-SA 4.0
信息侦探
信息侦探技术用于得到网站信息,包括网站服务器、WHOIS 信息,网站用户信息,网站程序信息以及其他。这些信息服务于我们的渗透测试。
信息侦探所用的工具和技术有很多种,主要是站长之家、搜索引擎、站内搜索、社工平台、Maltego、御剑和 Nmap 等等。
站长之家
我们访问站长之家工具http://tool.chinaz.com/:
可以看到其中包含很多工具,我们点击“WHOIS 查询”:
我们可以尝试查询www.baidu.com的 WHOIS,结果如下:
可以看到联系人和联系方式。如果对方是个小网站,可能就不注意保护个人隐私,我们还可能会看到更多。
然后查询它的 Alexa:
搜索引擎
我们可以使用site:baidu.com或者inurl:baidu.com来搜索baidu.com的子域名。
厂商寻找
厂商是什么
厂商可以是一个网站(Web 应用),或者一段程序(PC、移动应用)。从白帽子的角度来说,两个都是厂商,都可以挖掘。
基于漏洞平台的寻找
现在国内有三大漏洞平台:
补天
补天是零门槛的,不需要邀请码。
目前已加入补天的所有厂商请见https://butian.360.cn/company/lists。不同的是,它设置了私有 SRC 厂商,请见https://butian.360.cn/company/reward。私有 SRC 厂商即付费厂商,是给现金奖励的。
此外,如果发现其他网络的漏洞也可以提交,补天并不只收列出来的厂商。
乌云
由于现在已经关闭了,这里只是稍微提一下。
厂商请见http://www.wooyun.org/corps/,同样不只收列出来的厂商。
乌云的账号注册需要邀请码。如果没有也不影响漏洞提交,漏洞审核之后会发给你邀请码。
漏洞银行
厂商列表http://www.bugbank.com/tasklist.html。需要邀请码,并且只收列出来的厂商,奖金也比较丰富。
基于搜索引擎的寻找
主要推荐四大搜索引擎:
- 百度
www.baidu.com。 - 谷歌
www.google.com。 - 钟馗之眼
www.zoomeye.com。 - 傻蛋
www.oshadan.com。
前两个是通用搜索引擎,Google/Baidu Hack 的技巧不多说了。
那么如何构建搜索关键词?
- 系统/后台类,可以搜索“xxx系统/平台/管理”。
- 企业类,可以搜索“xxx企业/公司/平台”。
比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。
这里使用傻蛋这个平台演示一下,它不仅仅能监控系统,还能搜索到一些内网的系统。比如我们要挖一些电信系统,这里点击全网搜索,可以看到很多外网看不到的内部系统。
我们点击其中一个“汕尾用电监控系统”,可以看到详细的用电情况,这个就属于一种越权或者绕过。
漏洞提交
漏洞提交需要满足两个条件,第一个是自己先要确认能够利用。不能在扫描器扫到之后就立即提交,自己先要手动试一遍。第二个是要证明其危害。比如一个 SQL 注入漏洞,你首先需要用 SQLMap 检测一遍确认漏洞的确存在,其次你需要使用--count参数来确认它的数据量。
下面以补天为例讲解一下漏洞提交的过程。
访问补天之后先登录,登录之后在个人页面上有个“提交漏洞”的按钮,点击之后会跳转到提交页面https://butian.360.cn/vul/submit:
这些是需要详细填写的信息,比如说我们在腾讯某分站上发现了一个 SQL 漏洞。
- 问题类型:如果是开源的软件/网站,选择“通用型漏洞”,否则选择”事件型漏洞“。这里我们选择后者。
- 漏洞标题:一般是“xxx网站yyy页面存在zzz漏洞”,比如“腾讯某分站存在 SQL 注入漏洞”。
- 厂商:事件型写公司名称。通用型漏洞就无所谓了,写程序名称(比如 DedeCMS),开发组名称,或者公司(如果有的话)都可以。这里我们写“腾讯”。
- 域名:公司域名,或者该软件主页的域名。这里我们写
www.qq.com。 - 漏洞类型:因为我们已经知道它是什么漏洞了,这里如实填写就行了。这里我们填“SQL 注入”。
- 漏洞等级:如果泄露了用户信息那肯定是高危,其它的就看着选吧。这里我们选“高危”。
- 漏洞描述:随便写。
- 漏洞细节:对于 SQL 注入来说,首先要写上注入点,比如是
xxx.qq.com/yyy.php?id=zzz。然后留下一张利用的证明,这里是 SQLMap 检测到注入的截图。然后再留下一张危害证明,这里是 SQLMap 获取--count的结果截图。 - 修复方案:对于 SQL 注入,写什么预处理或者过滤都可以。