前言
渗透测试的灵魂是信息收集,本体是在漏洞利用。收集到的资产和信息越多,你的突破点就越多,因为你找到了别人没有找到的,你测了他没有测试的,你已经领先在了起跑线上,而src得用大量的时间去做信息收集,src比的不只是技术,更比的的是耐心,细心。
信息收集篇
第一步:厂商域名:厂商的域名可以通过爱企查,企查查这类的工具去搜索主域名他曾用过的一些域名
免费会员:
https://mp.weixin.qq.com/s/h1qdBXeS4KoFzLyRVAf_LQ
icp备案也可以,但是注意要输入公司名全称
另外推荐奇安信的鹰图平台,可以用关键词查询备案网站
第二步:子域名:将收集到的域名进行子域名挖掘,针对子域名以下几点:
通过SSL证书查询:crt.sh 可以查到域名证书相关子域名
第三方接口网站:censys.io 、 fofa、dnsdb.io等等
工具挖掘:oneforall、 layer等
在线子域名挖掘(个人认为比较好用):phpinfo.me
通过github进行收集:这个不好细说,懂得都懂。
第三步:查询IP段,在查询玩子域名后我们已经获得了大量的IP 我们可以通过IP所属网络进行反差查找厂商所拥有的IP段:
https://ipwhois.cnnic.cn/index.jsp
这个不仅可以通过IP查询所属单位和网络名称还可以通过网络名称再反查网络段
第四步:获取IP后,进行批量的端口扫描,这里各位就各凭本事,谁还不会个端口扫描了?
信息收集就说到这里,信息收集的主要目的就是扩大可利用面,10000万个资产你可能碰到弱口令,但1个资产你肯定没有弱口令
挖掘前篇
前边已经讲了信息收集,在测试前为了能高效的挖掘src,就需要有数据进行测试,这个数据就是我们常说的字典,字典怎么来,整理,收集,经验,积累。先说以下字典的类型:
目录字典:目录探测、后台探测、功能探测
漏洞字典:除了常规的目录字典,收集漏洞字典也是很有必要的,如spring-boot框架的字典、git泄漏、压缩文件泄漏、系统配置等
参数字典:这类的字典很多,需要自己收集,比如密码,用户名,常见参数,等字典
漏洞fuzz:xss payload、上传payload等
这些都需要进行灵活的使用,能极大的我们的挖掘漏洞过程中的效率。
挖掘篇
首先讲一下漏洞挖掘的方向
一般来讲个大src的侧重不同,如果经常跟一家src,那么有新功能上线就能快人一步发现漏洞,其次除了web业务应用,app、小程序等服务也是挖掘的重点。当然在挖掘的过程中会遇到抓不到数据包、app闪退、全流量加密、waf拦截等各种问题,这些网上都有相应的解决方法,只能在遇到的过程中逐步解决,也可以参考雷石之前发的文章。
最后着重讲一下逻辑漏洞,其他漏洞也有多,但是大厂除了逻辑漏洞外,其他漏洞相对少些,上传、csrf、xss、sql注入等也是有的,重点还是从功能上看,尽可能对相关业务功能很熟悉,可以猜测参数意义,看到某些参数就能去知道该测哪些漏洞,漏洞挖掘自然不在话下。
这里我主要讲述自己常用来测试逻辑楼的功能点,供大家参考:
逻辑漏洞容易出现的地方及相应问题:
支付处(订单生成、订单处理)
注册处(恶意注册、绑定)
登录处(第三方认证、登陆绕过、凭证伪造、凭证窃取)
验证码(验证码无效、不刷新)
业务处理(权限管理、业务逻辑绕过)
密码找回处(任意密码重置、认证绕过)
先说登录处的逻辑缺陷:
1,通过用户直接爆破密码
2,做了用户登录锁定,通过密码爆破用户
3,存在返回提示用户名错误,爆破用户名
4,Cookie的伪造,修改字段中的某种来进行登录
5,固定的session,比如修改session中的会话ID造成越权行为
验证码:
现在的验证码各种各样,最常见的就是手机验证码登录,这也是逻辑漏洞的所在而验证码的测试主要分为以下种类:
时间,和次数的突破:重复提交,待验证码的数据包看返回结果
绕过验证:直接删除cookie或者验证码绕过
篡改:修改相关数值,造成短信轰炸
密码找回:
在密码找回时通过修改用户名,导致被修改的用户名密码被修改
查看请z求连接中是否携带验证
手机找回密码时,返回包中携带验证码
密码或密保问题出现在源码中
业务逻辑漏洞:
业务逻辑出现问题最容易出现的问题就是越权,
越权可分为两种,一个是水平越权和垂直越权越权漏洞的常见电
修改、重置、找回其他账户密码
查看、修改其他账户未公开的信息,例如个人资料、文件、数据、程序等
与账户关联的权限操作
水平越权:
基于用户身份:比如说可控参数修改1变成2 从张三的账号变成李四
基于文件名:比如下载文件需要收费,通过接口功能访问文件名直接进行下载,读取等操作
基于对象id:通过修改id值去访问其他用户信息
垂直越权:
未认证直接访问功能点
不具备某功能权限绕过认证 比如登录后台先访问后台,再跳转到登录界面,通过丢弃验证包直接进入后台,访问后台功能点和数据
支付漏洞:
支付漏洞就一句话:数据篡改(当然好多漏洞都可以这么说,哈哈)
比如将参数改成1毛通过1毛购买苹果收集等操作。金额,数量都是可以篡改的地方
小结
挖掘src漏洞最主要还是挖掘逻辑漏洞,无非就是耐心,细节,多留意数据包的可疑数据,数据包所实现的功能。
