小白如何挖到自己的第一个漏洞

本文涉及的产品
.cn 域名,1个 12个月
简介: 首先声明本篇文章采用的漏洞案例均已上报并且已修复,本篇文章使用案例介绍以及如何进行搜集的方法进行介绍小白如何挖到第一漏洞,旨在帮助白帽子快速度过前期没有实战经历的难题


前言

版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                            

原文链接:https://blog.csdn.net/weixin_72543266/article/details/137504581

                                                                 免责声明

 以下漏洞均已经上报漏洞平台并已修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客,阿里云平台及本人无关。

   弱口令即是最好挖掘也是最难挖掘的漏洞(考验的是信息收集能力),但是能用弱口令进入系统,也是最容易拿到权限,来为自己后续进行渗透测试提供了遍历的条件,当然切记要守法,为小白提供思路,大佬勿喷.


挖洞公式

                              运气+长期积累+感想敢做+耐心+细心


漏洞介绍

       弱口令漏洞是由于使用简单或容易猜测的密码而引起的安全缺陷,它使得攻击者能够通过轻易暴力破解密码,进行登录后台或者用户从而获得未授权访问权限,可能导致数据泄露和接管后台系统等其他安全事件,简单来说,拿到对应权限的账号,从而能够进行操作和使用的权限越大,例如拿到管理员账号还不是想做什么就做什么

漏洞详情

 当然进入正题之前,还是要进行一定的学习的,毕竟只进行无脑的操作是无法提升技术的,不然就会成功脚本小子了,会影响自己进步的速度,懂原理,才能更好的学习和为自己提供更多新的思路去操作和使用,这里因为信息收集的方式还是很多的,我们为了效率来说,当然使用的是最方便的方式进行信息搜集.

如何进行信息收集(最快捷)

下面这段话,主要是讲述,为什么去收集,以及怎么收集,一步一步的推理,才不会打偏,白费功夫.

 为了找到更加脆弱的资产呢,后台系统是拿到弱口令,即危害大,又容易利用的最佳资产,因此我们主要锁定的是后台,当然既然有后台,那么看一下后台,一般后台无非就是:  登录|注册|忘记密吗 这三个主要的功能点,也是最基础的Web资产,如果你收集后台的资产比较多了后,就会发现,不同资产有不同的title名称,例如XX管理系统,XX文档管理系统

方法1(Google Hacking)

0x01 常见Google语法

关键字 说明
site 指定域名 例如eud.cn 页面会筛选出都为edu.cn的教育网站
intext(body) 正文存在指定关键字的网页 在index.html或是php/asp/jsp等主页面的源代码中含有搜索关键词的网站筛选出来
intitle 标题存在指定关键字的网页 也就是网页的标题处
info 显示该网页的基本信息(显示java编程语言的摘要信息)info Python programming language 目前还不是很清楚这个语法的作用,目前测试感觉比intext的作用更好
inurl URL存在指定关键字的网页(例如狮子鱼cms): inurl: “/seller.php?s=/Public/login”
fileype 搜索指定文件类型的网页 xls/pdf/xlsx/txt等 主要作用是收集身体证,学号等信息

使用方法很简单:关键字: + 域名||是文件类型||URL特征等,下面是示例:

site:eud.cn

image.gif

0x02 不是经常用的关键字

 这些关键词,在日常的渗透过程的信息收集中,不是很常用,但是还是在某些特定环境下可以使用的,如果有需要的话可以自行查看和搜索使用方法.

关键字 说明
Intitle、Allintitle 在标题中搜索
Related 显示相关站点
Phonebook 搜索电话列表
Filetype 搜索制定类型的文件
Rphonebook 搜索住宅电话列表
Allintext 在网页内容里查找字符串
Bphonebook 商业电话列表
Author 搜索Google中新闻组帖子的作者
Link 搜索与当前网页存在链接的网页(不能与其他操作符或搜索关键字混合使用)
Group 搜索Google标题
Inanchor 在链接文本中查找文本
Masgid 通过消息id来查找谷歌的帖子
Daterange 查找某个特定日期范围内发布的网页
Insubject 搜索Googlegroup的主题行
Cache 显示网页的缓存版本
Stocks 搜索股票信息
Define 显示某术语的定义
Numrang 搜索数字需要两个参数一个最小数,一个最大数,用破折号隔开

当然google也为我们提供了很方便的其他的符号,便于我们进行进一步的信息收集

0x03 特殊符号使用

                    这些符号使用起来也很简单,只要在使用中需要时加入即可

关键字 说明
+ 加入被忽略的词 例如搜索某个域名下的身份证和学号 site:xxx.edu.cn filetype:xlsx +身份证号 + 学号
- 忽略某个词 例如说搜索site:edu.cn -www 可以排除主域的域名,找脆弱资产,主站一般很难进入,找不含主站的薄弱资产
~ 同意词。单一的通配符 没用过
* 通配符,可代表多个字母 这个就和sql语法的*号类似 例如 site: *.edu.cn 就会匹配出 xxx.eud.cn的子域名出来 ,类似与 *.管理系统 就会匹配出 志愿管理系统,档案管理系统等这些系统出来
"" 精确查询 这个很好用 site:edu.cn "身份证" 就会精准查询含有身份证词的域名,当然现在也是很难了,都被大佬们轮了好多遍了

0x04 布尔操作

        布尔操作就是,如果我们需要多个关键词一起使用的话,就需要使用这些布尔操作的词进行操作

关键字 说明
and
or
not

0x05注意事项

1.操作符、冒号、关键字之间是没有空格的。

2.布尔操作符(AND、OR、NOT)和特殊字符(-、+)仍可用作高级操作符查询,但是不能把他

们放在冒号之前而把冒号和操作符分开。

3.高级操作符能够和单独的查询混合使用

ALL操作符(以ALL开头的操作符)非常古怪。一般情况下,一个查询中只能使用一次ALL操作符,而且不能和其他操作符混用

0x06 使用例子(组合式)

   下面是一些我经常使用例子,方便大家更好的学习和使用,当然也是我的一些总结,你可以直接进行搜集尝试,说是说不明白的,直接尝试一看就懂.

0x06.1 例子一
site:edu.cn intitle:后台

image.gif

搜索出所有edu.cn域名下网页标题存在后台的URL

0x06.2 例子二
inurl:www.baidu.com intext:安全

image.gif

搜索出URL存在www.baidu.com网页文字中存在安全的URL

0x06.3 例子三
inurl:www.baidu.com filetype:jsp

image.gif

搜索出URL包含www.baidu.com文件类型为jsp的URL

0x06.4 例子4-子域名排除
site:baidu.com -site:www.baidu.com

image.gif

搜索baidu.com域名信息并且排除某个www.baidu.com这个域名的信息

0x06.5 例子5-找注入
site:qq.com inurl:?id=1 filetype:php

image.gif

查找qq域名下面url带“?id”的并且是php后缀的url

0x06.6 例子6-找目录遍历
Intext:"index of"
Intext:"index of" intitle:"index of"
Intext:"Parent Directory" intitle:"index of"

image.gif

0x06.7 例子7-找泄露
Filetype:txt intext:用户名 and 密码
Filetype:txt intext:username and password

image.gif

查找所有类型为txt 并且内容带有“intext”语法的数据

0x06.8 例子8-找指定端口网站
Inurl:6379 -intext:6379

image.gif

查找url中带6379 并且正文不存在6379这个字眼的网站

0x06.9 例子9-搜索web信息
site:qq.com inurl:manage

image.gif

管理端 找到的例子

site:qq.com intext:管理|后 台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:qq.com inurl:login|admin|manage|manager|admin_login|login_admin|system

image.gif

查询网页标题含有intext关键词并且为php后缀的网站

0x06.10 例子10-取某个网站邮箱或电话
site:xxxx.com intext:*@xxxx.com
site:xxxx.com intext:电话

image.gif

不同搜索引擎的区别

 当然有了搜索语法,但是搜索平台还是很重要的,用google搜索需要科学上网,当然也还有其他的可以进行替代的搜索引擎,但是效果确实会差一些,下面的图片能够狠清晰的看出区别.

image.gif

这里分享一个大佬的谷歌捡洞语法,过期了,可以进行评论,或是私聊我都可以

image.gif

方法2(资产测绘平台)

fofa

 网安界资产测绘国内的开山鼻祖,基本是上是最好用的,但是自从可以获得永久fofa高级会员的活动结束后,一个fofa高级被炒到了几万无货,想测出更多资产只能使用可以调用fofa接口的工具,去某鱼租一个月一个月的高级账号,好用是好用,但是小白是真的用不起,我基本就是fofa搜集到用鹰图进一步搜索,偶尔租个会员去一次搜集想搜集的资产.


image.gif

fofa搜索:                     title="管理后台" && country="CN"


   这里就可以通过改进搜索xx管理后台,然后配合fofa自己的很多语法进行搜集,基本和google语法一致,可以搭配进行使用,如果想进行更多的收集测试,可以通过查看示例和去搜集和学习别人的语法,然后进行改进,变成自己的东西.

1、title="后台管理" 搜索页面标题中含有“后台管理”关键词的网站和IP

2、header="thinkphp" 搜索HTTP响应头中含有“thinkphp”关键词的网站和IP

3、body="管理后台" 搜索html正文中含有“管理后台”关键词的网站和IP

4、body="Welcome to Burp Suite" 搜索公网上的BurpSuite代理

5、domain="itellyou.cn" 搜索根域名中带有“itellyou.cn”的网站

6、host="login" 搜索域名中带有"login"关键词的网

7、port="3388" && country=CN 搜索开放3388端口并且位于中国的IP

8、ip="120.27.6.1/24" 搜索指定IP或IP段

9、cert="phpinfo.me" 搜索证书(如https证书、imaps证书等)中含有"phpinfo.me"关键词的网站和IP

10、ports="3306,443,22" 搜索同时开启3306端口、443端口和22端口的IP

11、ports=="3306,443,22" 搜索只开启3306端口、443端口和22端口的IP

       这里也分享一个我的初学时的fofa珍藏宝典吧,当然下面的语法,有的也就乐呵乐呵,不可能是真的,也就提供一下,fofa进行信息搜集的思路吧.



鹰图

不得不说,如果fofa是鼻祖的话,那么鹰图就是穷比白嫖和使用的最佳平台了,相比fofa,来说鹰图每天都有500查询点,可以查询按照资产导出,也可以注册多个账号换着来,你懂得,当然有些方式还是和fofa的会员付费用的点数才能查询一样,但是影响不大,毕竟都白嫖了,还要什么自行车呢.

这个是我之前测过的一个语句,可以通过换一些查询方式来获得更多的资产

        ip.isp="教育"&&(web.body="登录页面"||web.title="后台管理")  4000多条资产

image.gif

如果需要挖掘教育SRC的话,这里分享一个大佬团队的信息收集思路文档,帮助大家进行开放思路,提高自己的信息收集能力


image.gif

如何进行利用

       搜集完后,进入页面,看见登录框,就是一波弱口令,通常没有验证码的,更容易弱口令进去,当然有也不要怕,还是有几率出的,毕竟人嘛,要么懒,要么疏忽,还有一种方式就是因为初始密码看着感觉很复杂就不改了,也是一种原因

密码总结无非就是几种:

1.弱密码:简单来说就是很像123456这种,输入密码的时候懒得或是种种原因,系统也没有限制就写成简单的密码了,可以进行burp或是其他工具进行爆破,当然这种方式一般需要换代理ip,爆破一般ip容易被扳的

2.默认密码1:每个厂商或是大一点的公司有开发的默认密码,这种通常就是直接使用google语法进行搜索 设备或是系统的默认密码或是管理手册,查看是否含有密码

3.那小厂商呢,一般就是admin或者是123456,或是和管理员账号一样作为密码

4.默认密码2:对于学校类的资产,如果是学生基本就很熟悉,一般就是什么xql+学号 这个一般都有手册,每个学校也不同,或是通过身份证号/学号等密码一般也就是身份证号后6位或8位/学号后几位等,   需要进行信息收集

5.空密码,直接随便输入或者不输入密码,输入账号点击登录就会进入

6.给脸账号密码(直接进入页面,页面中就写着账号和密码)或是前台HTML页面的信息中含有账号密码(我遇到过很多,其中有西安建筑科技大学的资产)

admin/admin admin/123456  admin/admin123  admin/admin666 admin/admin888

image.gif

 还有就是搜索系统看有没有默认密码,或是管理手册中是否含有  如果都没有的话,那就溜吧,小白不适合进一步了

案例分享

其实通过案例的分享,相信也能看出来弱口令就是那几个,这样的资产也是有很多的,但是主要还是看你能否搜集到不重复的,也就是别人没找到的资产

案例1:某志愿管理系统

其实熟悉和测试多了登录页面的人应该很熟悉这个页面,一看就是若依的,这个系统也是算是一个高危吧,里面有440个社区的管理,几千条敏感信息数据.

弱口令:  admin/admin123

前台页面

image.gif

后台页面

image.gif

案例2:某游戏管理平台

这个页面也就常规吧,当时是通过一个ico的hash值搜索到的资产,前台平平无奇,后台是个看上去应该是小游戏的管理之类的

弱口令: admin/admin

前台页面

image.gif

后台页面

image.gif

案例3:某餐饮管理平台

   这个平台也就普普通通的存在验证码,还是存在漏洞,今天复测的时候,发现修复了,应该是有人交了吧,然后修复了,可惜给大家看不到后台了.

弱口令: admin/admin

前台页面

image.gif

   剩下的几个都是设备为锐捷网络的,我最近因为拿了RCE漏洞系统,于是进行了尝试,虽然还是拿到了几个RCE,但是没有ip没有备案,不能提交也是很遗憾的,但是还是更加熟系了这套系统的其他类型的资产,方便后续测试中,有可能遇到而进一步测试,当然下面的也不用打码了,因为有很多资产都是这个页面,谁也分辨不出来.

下面的资产就是我说的设备的出厂时的默认密码为admin

案例4:RG交换机

     锐捷网络产生开发的物理网设备,其实后台应该也是有一个RCE的,但是也没必要测了,但是进入后台,就可能这个设备的信息就知道,这个危害是非常大的,对公司的影响巨大.

弱口令: admin/admin

前台页面

image.gif

后台页面

image.gif

案例5:RG-WALL WEB管理系统

看看危害大不,防火墙一关,系统设置一改,不知道会造成多大的危害,所以,管理员还是要做好防护工作,注意弱口令

弱口令: admin/admin

前台页面

image.gif

后台页面

image.gif

案例6:睿易交换机

这个就不贴后台的图片了,睿易系列就是上面的RG交换机系列的,后台功能都一模一样

弱口令: admin/admin

前台页面

image.gif

总结

     其实对于弱口令挖掘来说,最基础的就是尝试弱口令,当然如果要进行进一步测试的话,爆破密码只是很简单的一只种,还可以通过在各种例如抖音,小红书,甚至QQ群,公众号等进行身份证,学号等信息搜集,当然如果在允许情况下,也可以进行社工获得一些账号密码,尝试进行进一步测试(切记要合法).当然弱口令也是一种磨练耐心的一种方式吧,我刚开始时,一周内测试了1万多个网站吧,就是为了尝试弱口令,现在想来当时不懂,现在知道了应该是搜索时,还是使用的是别人用过的语法吧,战果可怜也就测出来几十个,能交教育的也没几个. 要说这个是无脑吧,确实是,但是还是看你是否能坚持下去 ,也不知道是什么让我坚持过去了,也见识了各种各样的系统和资产,熟悉了各种资产和厂商的资产,看到一个网站就大概知道是什么系统的,或是什么cms的,大概可能有什么漏洞,为后续技术的提升以及挖到高危漏洞,提供了很多便捷.其实最大的收获可能就是让我知道了,不提升技术,就会很难挖到漏洞,现在的环境对于小白的要求越来越高了,上山的路会越来越窄,但路上的人也会越少.达到一定程度时,也就很容易挖到洞了,报告写到你吐.

                             

相关文章
|
5月前
|
安全 容器 数据安全/隐私保护
CTF本地靶场搭建——静态flag题型的创建
【6月更文挑战第1天】本文介绍了如何在CTF比赛中创建静态flag题型。静态flag是预先设定且不变的,常用于攻防模式或Misc、Crypto等题目中作为验证答案的一部分。创建步骤包括:选择比赛,新建题目,设置题目类型和内容,上传附件,添加静态flag,启用题目。选手则需下载附件,解密或解决问题后提交静态flag进行验证。
|
1月前
|
NoSQL PHP Redis
SSRF一篇文章实战举例全面学懂
SSRF一篇文章实战举例全面学懂
35 0
|
6月前
|
算法 程序员 数据安全/隐私保护
教你怎么用三种办法找到发给你QQ的坦白说的那个人
教你怎么用三种办法找到发给你QQ的坦白说的那个人
63 0
|
6月前
|
存储 安全 Linux
CTFHuB靶场命令执行题型过关总结
本篇博文是对自己学习rce漏洞后,因为没有进行实战练习,仅仅停留在概念上,因此做了一次靶场实战练习,来帮助自己熟悉rce漏洞的利用类型以及利用方法,写下这篇文章对此做个总结..其实关于这个练习已经过去了很久了,但我还是要那出来进行一次复习吧,对与命令执行相关的一些操作,对自己在漏洞挖掘方面能有更多的帮助,通过这次练习也对自己关于代码审计或是关于linux命令的常见命令的同意替换有了更多的了解.
|
存储 编译器 C语言
还在为每次打开程序的输入烦恼吗,这篇文章让你不在迷茫
在之前我们编写的程序中,我们总要录入一些数据给予程序用于计算,但是当我们退出程序后录入的数据会销毁,因为此时数据都是存放在内存中。等到下次再运行程序时,数据又得从新录入,这样就非常的难受。
67 0
还在为每次打开程序的输入烦恼吗,这篇文章让你不在迷茫
|
6月前
|
消息中间件 前端开发 NoSQL
考研失败如何快速找到编程工作?
考研失败如何快速找到编程工作?
53 3
|
6月前
|
算法 Java
刷题专栏(二十八):找到所有数组中消失的数字
刷题专栏(二十八):找到所有数组中消失的数字
120 4
|
6月前
|
算法
刷题专栏(十八):第一个错误的版本
刷题专栏(十八):第一个错误的版本
50 0
|
SQL 安全 前端开发
新手学习渗透测试常规思路
2017黑客新手工具系列集合附链接 - 知乎专栏|这门技术(艺术)一开始也不是每个人都会的,正所谓没有人一出生就会走路,从不懂到入门到深谙,一步步慢慢来,每个人都是这样;但是在这个过程中, 思路无疑是最重要的,没有做不到只有想不到,就跟咱们高中解题时有了思路就迎刃而解一样,手里拿着铲子(技巧知识)但不是道从何挖起岂不是悲哀。
143 0
|
安全 网络协议 Java
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变,小白也能看懂
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
620 0