米斯特白帽培训讲义 挖掘篇

米斯特白帽培训讲义 挖掘篇

讲师：gh0stkey

整理：飞龙

协议：CC BY-NC-SA 4.0

信息侦探

信息侦探技术用于得到网站信息，包括网站服务器、WHOIS 信息，网站用户信息，网站程序信息以及其他。这些信息服务于我们的渗透测试。

信息侦探所用的工具和技术有很多种，主要是站长之家、搜索引擎、站内搜索、社工平台、Maltego、御剑和 Nmap 等等。

站长之家

我们访问站长之家工具http://tool.chinaz.com/：

可以看到其中包含很多工具，我们点击“WHOIS 查询”：

我们可以尝试查询www.baidu.com的 WHOIS，结果如下：

可以看到联系人和联系方式。如果对方是个小网站，可能就不注意保护个人隐私，我们还可能会看到更多。

然后查询它的 Alexa：

搜索引擎

我们可以使用site:baidu.com或者inurl:baidu.com来搜索baidu.com的子域名。

厂商寻找

厂商是什么

厂商可以是一个网站（Web 应用），或者一段程序（PC、移动应用）。从白帽子的角度来说，两个都是厂商，都可以挖掘。

基于漏洞平台的寻找

现在国内有三大漏洞平台：

补天

补天是零门槛的，不需要邀请码。

目前已加入补天的所有厂商请见https://butian.360.cn/company/lists。不同的是，它设置了私有 SRC 厂商，请见https://butian.360.cn/company/reward。私有 SRC 厂商即付费厂商，是给现金奖励的。

此外，如果发现其他网络的漏洞也可以提交，补天并不只收列出来的厂商。

乌云

由于现在已经关闭了，这里只是稍微提一下。

厂商请见http://www.wooyun.org/corps/，同样不只收列出来的厂商。

乌云的账号注册需要邀请码。如果没有也不影响漏洞提交，漏洞审核之后会发给你邀请码。

漏洞银行

厂商列表http://www.bugbank.com/tasklist.html。需要邀请码，并且只收列出来的厂商，奖金也比较丰富。

基于搜索引擎的寻找

主要推荐四大搜索引擎：

• 百度www.baidu.com。
• 谷歌www.google.com。
• 钟馗之眼www.zoomeye.com。
• 傻蛋www.oshadan.com。

前两个是通用搜索引擎，Google/Baidu Hack 的技巧不多说了。

那么如何构建搜索关键词？

• 系统/后台类，可以搜索“xxx系统/平台/管理”。
• 企业类，可以搜索“xxx企业/公司/平台”。

比如我们要挖电信的系统，可以搜索“电信系统/平台/管理”。

这里使用傻蛋这个平台演示一下，它不仅仅能监控系统，还能搜索到一些内网的系统。比如我们要挖一些电信系统，这里点击全网搜索，可以看到很多外网看不到的内部系统。

我们点击其中一个“汕尾用电监控系统”，可以看到详细的用电情况，这个就属于一种越权或者绕过。

漏洞提交

漏洞提交需要满足两个条件，第一个是自己先要确认能够利用。不能在扫描器扫到之后就立即提交，自己先要手动试一遍。第二个是要证明其危害。比如一个 SQL 注入漏洞，你首先需要用 SQLMap 检测一遍确认漏洞的确存在，其次你需要使用--count参数来确认它的数据量。

下面以补天为例讲解一下漏洞提交的过程。

访问补天之后先登录，登录之后在个人页面上有个“提交漏洞”的按钮，点击之后会跳转到提交页面https://butian.360.cn/vul/submit：

这些是需要详细填写的信息，比如说我们在腾讯某分站上发现了一个 SQL 漏洞。

• 问题类型：如果是开源的软件/网站，选择“通用型漏洞”，否则选择”事件型漏洞“。这里我们选择后者。
• 漏洞标题：一般是“xxx网站yyy页面存在zzz漏洞”，比如“腾讯某分站存在 SQL 注入漏洞”。
• 厂商：事件型写公司名称。通用型漏洞就无所谓了，写程序名称（比如 DedeCMS），开发组名称，或者公司（如果有的话）都可以。这里我们写“腾讯”。
• 域名：公司域名，或者该软件主页的域名。这里我们写www.qq.com。
• 漏洞类型：因为我们已经知道它是什么漏洞了，这里如实填写就行了。这里我们填“SQL 注入”。
• 漏洞等级：如果泄露了用户信息那肯定是高危，其它的就看着选吧。这里我们选“高危”。
• 漏洞描述：随便写。
• 漏洞细节：对于 SQL 注入来说，首先要写上注入点，比如是xxx.qq.com/yyy.php?id=zzz。然后留下一张利用的证明，这里是 SQLMap 检测到注入的截图。然后再留下一张危害证明，这里是 SQLMap 获取--count的结果截图。
• 修复方案：对于 SQL 注入，写什么预处理或者过滤都可以。