SRC挖洞骚思路整理
关注本公众号,长期推送漏洞文章
知攻善防实验室
红蓝对抗,Web渗透测试,红队攻击,蓝队防守,内网渗透,漏洞分析,漏洞原理,开源 工具,社工钓鱼,网络安全。
73篇原创内容
公众号
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!
/ SRC 漏洞挖掘思路 /
1
前言
这是来自知攻善防实验室(1 群)的发言
“谁会挖 src 啊”
“SRC 是啥啊”
“新手咋入门啊”
“为啥我挖不到啊”等等一系列的话
在这做个总结并且进行思路挖掘的分享
1.1
什么是 SRC
SRC 漏洞挖掘的基础知识
什么是 SRC?SRC 是指软件漏洞报告计划(Software Vulnerability Reporting Program),它是一个公开的、协作式的漏洞管理计划。SRC 的成员会定期报告在应用程序和服务中发现的安全漏洞,以便能够制定和发布补丁程序以确保软件和系统的安全性。
SRC 的工作过程 SRC 的成员发现漏洞,确认漏洞,报告漏洞,修复漏洞,并公开发布漏洞信息和修复信息。
SRC 漏洞的类型 SRC 漏洞可以分为诸如 SQL 注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、代码注入等许多类型。
1.2
SRC 适合什么样的人
两种人
第一种,无业但是技术强,可以去挖一些企业 SRC 和专属 SRC 还有一些限时开放的众测项目,并且来钱快得很。
第二种,公益 SRC,适合刚入门的小白,实战经历不够,利用 SRC 还可以填充自己的简历
1.3
挖 SRC 需要什么工具?
那天从群里遇见一个老哥,想用“御剑”(就是扫目录的那个),去挖 src,还问挖 SRC 需要啥工具。
你正常对一段资产进行漏洞挖掘,只用御剑嘛?那打红队岂不是需要用到 hydra?
挖洞需要一定的思维,遇到什么框架就要知道什么框架,知道有啥洞可以测,并不是只会一两个工具就可以挖。
1.4
怎么挖?
首先本文是针对有一定基础的人的。
2
SRC 挖掘思路
2.1
新手怎么挖?
建议刚接触安全的,多去刷一些漏洞文章,多去复现,这里推荐多关注一些公众号,实现降低信息差,并且被动歇息。一些文章里有指纹。什么是指纹,就是你通过资产平台搜索该指纹可以搜到更多相同的平台,既然是相同的平台,那就有爆相同洞的可能。
这里推荐:
奇安信鹰图
https://hunter.qianxin.com/
FOFA
https://fofa.info/
钟馗之眼
https://www.zoomeye.org/
360quake
https://quake.360.net
在通过资产到处并且批量验证完漏洞状态后
推荐使用土豆佬的工具进行反查域名、批量查询备案、SEO 等
Github 地址:
https://github.com/Potato-py/ipInfoSearch然后拿着这些洞去交"公益 SRC",不要想着上来就打企业 SRC.一口吃不成胖子。
2.2
重点 0
我个人觉得,漏洞挖掘攻防演练中最重要的步骤就是信息收集,其次才是自己漏洞的利用
这里附一张图片,文末有高清版本下载地址
这个信息收集框架是自己整理的,另付哔哩哔哩讲解视频链接
https://www.bilibili.com/video/BV1yP4y117Q2/
2.3
重点 1
不要只看自己有的东西
比如,我通过信息收集拿到了一些域名
在真实环境中,通常 ip 对应端口还有更多服务,这一点不可忽视,将收集到的所有资产 ip 进行一遍端口扫描,可以得到大量的业务信息,这也是很多人嫌弃资产少打不动的理由。
2.4
重点 2
重视弱口令
很多人说,“弱口令不是很常见”,“现在运维人员都很有安全意识,不会设置弱口令了”【那纯纯是扯】,我遇见的弱口令还是比较多的,只不过是你没有一本好的字典罢了。再附一个建议:将自己所有知道的或者后期挖掘出来一些口令,整理在自己的字典里,强化自己的字典。
文末附我自己在用的字典
提一嘴,Burp 用的不习惯的话建议换成 Yakit,我用着还算比较舒服
2.5
重点 3
重视小程序
小程序!小程序!小程序!小程序漏洞真的很多。别嫌麻烦!别嫌麻烦!
关于小程序抓包:
如何去抓微信小程序的包
2.6
重点 4
fuzz 大法,多去做模糊测试,很多空页面,其实你去做个接口的模糊测试就能出货。文末附一个我自己在用的 fuzz 字典
在这里指出一点,不止漏洞可以fuzz,一些接口类的也可以测。
例如像这种:
/apis/apps/apis/apps/v1beta1/apis/autoscaling/apis/autoscaling/v1/apis/batch/apis/batch/v1/apis/batch/v2alpha1/apis/extensions/apis/extensions/v1beta1/apis/policy/apis/policy/v1beta1/apis//apis/apps/v1
2.7
重点 5
JavaScript 代码审计,直接 F12 大法,找到相关 js 文件
有人说“不会 js 啊”
对于不会 js 的,也能测试啊
Ctrl+F 直接搜索相关敏感关键测:“key”,"http","192","10."等相关关键字
遇到不会的直接扔给 AI 去解释
这里再推荐一个基于浏览器插件的被动信息收集工具(神器)
https://github.com/momosecurity/FindSomething2.8
重点 6
多去看 F12 抓包页面
比如:
如果有登录权限,我一般都会准备两个浏览器进行对照。比如
[已登录]Chrome 浏览器,F12 抓包,得到一些接口。
[未登录]Firefox 浏览器,通过访问接口查看是否存在未授权。
[登录管理员用户]抓取外联
[登录普通用户]测试管理员是否越权
有外部链接,再去看看这个外部链接是否归属于该公司资产。
2.9
重点 7
挑选重要资产进行测试,有很多人对着门户或者子户(就是那种官方页面)一测就是一天,其实在没有 0day 介入的情况下,还不如爆破来的快。
这里推荐 EHole 工具
工具使用
Github:EHole是一款对资产中重点系统指纹识别的工具,在红队作战中,信息收集是必不可少的环节,如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic...)https://github.com/EdgeSecurityTeam/EHole
说一下为啥我觉得这工具好用,在做资产存活探测的时候还能顺便给你指纹识别了。
遇到 ThinkPHP 就跑一遍整条利用连
遇到 Shiro 就跑 10w-key(开玩笑)
2.10
重点 8
社工大法!
找不到的资产直接问,比如 edu 的“统一身份认证系统密码修改申请”之类的
直接 QQ 搜群
学长们,我密码忘了咋整啊
学长们,谁在信息部啊,能帮我改个密码嘛,我密码忘了
进群就是灵魂三问
3
总结
多看文章,多去学习思路,多去复现漏洞,水滴石穿非一日之功。
3.1
文章内容以及下载链接
信息收集框架-公众号后台回复“信息收集框架”获取
自用爆破字典-公众号后台回复“爆破字典”获取
自用 Fuzz 字典-公众号后台回复“fuzz”获取