《挖掘src之路》阅读笔记

《挖掘src之路》——https://download.csdn.net/download/tansice/10514124

挖掘漏洞是安全圈的核心之一。

安全测试前期准备工作如果做的精细，其实就是攻防对抗的前期工作。

这份资料的漏洞挖掘侧重点似乎是Web类，有很多IP、端口、子域名收集的前期准备工作。

1、厂商子域名收集

（1）SSL证书：censys.io、crt.sh

（2）第三方网站接口：riskiq、shodan、findsubdomains、cencys.io、dnsdb.io

（3）Github

（4）DNS解析记录

（5）子域名枚举（后续优化字典）

2、IP段收集

（1）中国互联网信息中心，通过大概的IP段、AS号、IP所属网络名称，反查厂商的IP段。

（2）netease:查询IP。

3、端口扫描

（1）masscan扫描并保存所有内容，再使用正则提取开放的端口。

python调用masscan进行全端口扫描+nmap端口服务识别，后续工作就是连接漏洞库，匹配漏洞库。

扫某IP扫到大量开放端口时极有可能是碰到了Waf，可以选择性跳过。

（2）nmap -sV 识别端口服务

-sT 无需root权限的TCP扫描

-sS 需要root权限的半开放SYN扫描，速度快。

--open 限定只探测状态为open的端口

--version-all 对每个端口尝试每个探测报文

4、字典的获取、分类、去重（体力活）

使自己的字典更强大

文中给出的字典获取方法是：提取rapid7的fdns、rnds的公开数据，做脏数据剔除。

收集开源Web源码，提取源码目录结构、可执行脚本文件名、参数名、请求方式、静态资源名（主要js脚本名）。

获取字典的会在目录爆破或可执行脚本文件爆破时用上。

字典分类

（1）目录类

（2）可执行脚本类

（3）参数类

（4）静态资源类(js脚本名)

暴力测试在SRC安全测试中可以使用，但是在真正攻防对抗时不建议使用。

5、字典优化

通过单词命中频率计数，调高单词的优先级。

6.文章最后提到的其他：

（1）业务安全是国内SRC比较重视的一点，SRC更关注会造成业务损失的漏洞，容易出问题的点：非普通用户权限、新上线业务。

（2）APP测试证书锁定解除。

 

总结：

决定进驻某SRC后，挖掘简单web相关漏洞的脑内流程：

信息收集——>准备字典——>端口扫描——>目录、脚本爆破——>匹配常见漏洞清单——>审计、分析——>写poc、exp。

这篇文章更多的是谈信息收集工作，谈的也比较细，原理、技巧都有讲到。但是漏洞挖掘的关键步骤，比如漏洞匹配、分析、参数爆破技巧之类的，作者就没有很花笔墨去写。

SRC的意义：普通漏洞、木马通过漏扫很容易发现，补丁升级后也能很快修复。但是逻辑漏洞通过机器很难扫出来，所以有必要搞SRC，搞众测。