src漏洞挖掘浅谈

本文涉及的产品
.cn 域名,1个 12个月
简介: src漏洞挖掘浅谈

前言


渗透测试的灵魂是信息收集,本体是在漏洞利用。收集到的资产和信息越多,你的突破点就越多,因为你找到了别人没有找到的,你测了他没有测试的,你已经领先在了起跑线上,而src得用大量的时间去做信息收集,src比的不只是技术,更比的的是耐心,细心。

信息收集篇


第一步:厂商域名:厂商的域名可以通过爱企查,企查查这类的工具去搜索主域名他曾用过的一些域名

免费会员:

https://mp.weixin.qq.com/s/h1qdBXeS4KoFzLyRVAf_LQ

619c25d8e0d74ebd136f96eb556030d7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

icp备案也可以,但是注意要输入公司名全称

975e6465dc10537e89d9ccba2e3b988e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

另外推荐奇安信的鹰图平台,可以用关键词查询备案网站

21fbc785bd5272eb34cec25e2fa42537_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

第二步:子域名:将收集到的域名进行子域名挖掘,针对子域名以下几点:

通过SSL证书查询:crt.sh 可以查到域名证书相关子域名

第三方接口网站:censys.io 、 fofa、dnsdb.io等等

工具挖掘:oneforall、 layer等

在线子域名挖掘(个人认为比较好用):phpinfo.me

fd2344651cb5c9d2a59321e13b8e9b1e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

通过github进行收集:这个不好细说,懂得都懂。

049ac2c74ca458cc2f05a2cf34ded264_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

第三步:查询IP段,在查询玩子域名后我们已经获得了大量的IP 我们可以通过IP所属网络进行反差查找厂商所拥有的IP段:

https://ipwhois.cnnic.cn/index.jsp 

这个不仅可以通过IP查询所属单位和网络名称还可以通过网络名称再反查网络段

8ddf19671dcafba102c03b7cbd2ae85c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

第四步:获取IP后,进行批量的端口扫描,这里各位就各凭本事,谁还不会个端口扫描了?

信息收集就说到这里,信息收集的主要目的就是扩大可利用面,10000万个资产你可能碰到弱口令,但1个资产你肯定没有弱口令


挖掘前篇


前边已经讲了信息收集,在测试前为了能高效的挖掘src,就需要有数据进行测试,这个数据就是我们常说的字典,字典怎么来,整理,收集,经验,积累。先说以下字典的类型:

目录字典:目录探测、后台探测、功能探测

漏洞字典:除了常规的目录字典,收集漏洞字典也是很有必要的,如spring-boot框架的字典、git泄漏、压缩文件泄漏、系统配置等

参数字典:这类的字典很多,需要自己收集,比如密码,用户名,常见参数,等字典

漏洞fuzz:xss payload、上传payload等

d7e4333d113ca7caedfc3964adf97c96_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这些都需要进行灵活的使用,能极大的我们的挖掘漏洞过程中的效率。


挖掘篇


首先讲一下漏洞挖掘的方向

一般来讲个大src的侧重不同,如果经常跟一家src,那么有新功能上线就能快人一步发现漏洞,其次除了web业务应用,app、小程序等服务也是挖掘的重点。当然在挖掘的过程中会遇到抓不到数据包、app闪退、全流量加密、waf拦截等各种问题,这些网上都有相应的解决方法,只能在遇到的过程中逐步解决,也可以参考雷石之前发的文章。

最后着重讲一下逻辑漏洞,其他漏洞也有多,但是大厂除了逻辑漏洞外,其他漏洞相对少些,上传、csrf、xss、sql注入等也是有的,重点还是从功能上看,尽可能对相关业务功能很熟悉,可以猜测参数意义,看到某些参数就能去知道该测哪些漏洞,漏洞挖掘自然不在话下。

这里我主要讲述自己常用来测试逻辑楼的功能点,供大家参考:

逻辑漏洞容易出现的地方及相应问题:

支付处(订单生成、订单处理)

注册处(恶意注册、绑定)

登录处(第三方认证、登陆绕过、凭证伪造、凭证窃取)

验证码(验证码无效、不刷新)

业务处理(权限管理、业务逻辑绕过)

密码找回处(任意密码重置、认证绕过)

先说登录处的逻辑缺陷:

1,通过用户直接爆破密码

2,做了用户登录锁定,通过密码爆破用户

3,存在返回提示用户名错误,爆破用户名

4,Cookie的伪造,修改字段中的某种来进行登录

5,固定的session,比如修改session中的会话ID造成越权行为

验证码:

现在的验证码各种各样,最常见的就是手机验证码登录,这也是逻辑漏洞的所在而验证码的测试主要分为以下种类:

时间,和次数的突破:重复提交,待验证码的数据包看返回结果

绕过验证:直接删除cookie或者验证码绕过

篡改:修改相关数值,造成短信轰炸

28a369e30f4d4dc223da01392c0da0d6_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

密码找回:

在密码找回时通过修改用户名,导致被修改的用户名密码被修改

查看请z求连接中是否携带验证

手机找回密码时,返回包中携带验证码

密码或密保问题出现在源码中


业务逻辑漏洞:

业务逻辑出现问题最容易出现的问题就是越权,

越权可分为两种,一个是水平越权和垂直越权越权漏洞的常见电

修改、重置、找回其他账户密码

查看、修改其他账户未公开的信息,例如个人资料、文件、数据、程序等

与账户关联的权限操作


水平越权:

基于用户身份:比如说可控参数修改1变成2 从张三的账号变成李四

基于文件名:比如下载文件需要收费,通过接口功能访问文件名直接进行下载,读取等操作

基于对象id:通过修改id值去访问其他用户信息


垂直越权:

未认证直接访问功能点

不具备某功能权限绕过认证 比如登录后台先访问后台,再跳转到登录界面,通过丢弃验证包直接进入后台,访问后台功能点和数据


支付漏洞:

支付漏洞就一句话:数据篡改(当然好多漏洞都可以这么说,哈哈)

比如将参数改成1毛通过1毛购买苹果收集等操作。金额,数量都是可以篡改的地方


小结


挖掘src漏洞最主要还是挖掘逻辑漏洞,无非就是耐心,细节,多留意数据包的可疑数据,数据包所实现的功能。


相关文章
【攻防世界misc--凯撒大帝在培根里藏了什么】(1),原理+实战讲解
【攻防世界misc--凯撒大帝在培根里藏了什么】(1),原理+实战讲解
【攻防世界misc--凯撒大帝在培根里藏了什么】(1),原理+实战讲解
|
6月前
|
消息中间件 安全 数据安全/隐私保护
SRC挖掘常用脚本
SRC挖掘常用脚本
47 0
|
JavaScript 前端开发 安全
JS渗透测试
JS渗透测试
340 0
|
存储 SQL XML
Burpsuite入门之target模块攻防中利用
1. 可以用来收集目标站点的更多资产 2. 可以探测一些自动加载的接口、内容等,有的内容并不能被访问者直接看见,通过抓包的方式就可以一目了然。
1025 2
Burpsuite入门之target模块攻防中利用
|
存储 JavaScript 前端开发
[CTF/网络安全] 攻防世界 simple_js 解题详析
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
246 0
|
前端开发 安全 网络安全
|
Web App开发 安全 前端开发
Src挖掘技巧分享 | 谈谈业务逻辑漏洞(三)
Src挖掘技巧分享 | 谈谈业务逻辑漏洞
303 0
Src挖掘技巧分享 | 谈谈业务逻辑漏洞(三)
|
存储 JSON 安全
Src挖掘技巧分享 | 谈谈业务逻辑漏洞(二)
Src挖掘技巧分享 | 谈谈业务逻辑漏洞
468 0
Src挖掘技巧分享 | 谈谈业务逻辑漏洞(二)
|
SQL 安全 前端开发
Src挖掘技巧分享 | 谈谈业务逻辑漏洞(一)
Src挖掘技巧分享 | 谈谈业务逻辑漏洞
854 0
Src挖掘技巧分享 | 谈谈业务逻辑漏洞(一)
|
安全 JavaScript
js实现黑客代码雨效果
js实现黑客代码雨效果
222 0
js实现黑客代码雨效果