SRC漏洞挖掘笔记
Posted 山兔1
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SRC漏洞挖掘笔记相关的知识,希望对你有一定的参考价值。
一、信息收集技巧
不盲目、有目的
渗透测试的本质是信息收集,但是在src漏洞挖掘当中,这句话或许没有那么正确,因为src决定了资产范围都很死,都是限定了一小部分的资产,像除资产以外的漏洞都是不收的,所以我们要是不限范围的去收集信息,会导致时间被浪费或者说对我们本次漏洞是没有意义的
为什么要做信息收集
因为我们通过SRC平台给出的资产范围,其实是不能够得出我们的渗透测试思路,这个时候我们就要去信息收集,得到资产的信息,分析出最薄弱点,对其进行渗透测试
信息收集技巧分享
通过公告获取信息
1、明确报告书写要求
2、明确资产收录范围
APP
根域名
只有知道根域名,我们才能收集子域名
小程序
微信小程序,支付宝小程序、QQ小程序
微信公众号
测试环境信息
如果公告里面,没有说收测试环境的,那基本上是不收的
也要关注禁止行为,不可触碰法律底线!
总结:先看公告,获取到一些信息,然后再利用一些手法获取到一些信息
工具不能少,介绍一些好用工具
灯塔ARL (资产侦察灯塔系统) : https://github.com/TophantTechnology/ARL/
目前只能用在centos7的系统里面
改造方案:
1、增强指纹: https://github.com/loecho-sec/ARL-Finger-ADD
2、增强子域名字典: ARL/app/dicts/domain_2w.txt
3、增强文件泄露字典: ARL/app/dicts/file_top_2000.txt
一点点的靠手工去收集信息太慢了,可以用一些工具加快速度
水泽-信息收集自动化工具: https://github.com/0x727/ShuiZe_0x727
功能:备案反查顶级域名、爱企查、Github敏感信息、爬虫、证书、子域名A记录、HOST碰撞动态链接和后台地址、网络空间搜索引擎、服务识别等
空间测绘
fofa: https://fofa.info
hunter: https://hunter.qianxin.com/
搜索引擎,使用google hacker搜索
搜索语法: site:example.com 账号密码
App、小程序收集: 小蓝本,https://www.xiaolanben.com/pc
爱企查、企查查
JS敏感信息收集: FindSomething
项目地址: https://github.com/momosecurity/FindSomething
关注path路径,通过路径可以找到很多的目录,再通过路径的拼接,看看有没有未授权访问、目录遍历的漏洞
可以通过信息收集,看看有没有框架漏洞,利用一下
二、挖洞案例分享
一、管理员密码泄露
渗透测试思路:在登录口,我们第一个想到的就是弱口令、SQL注入、框架漏洞、js未授权访问漏洞、敏感信息泄露
登录框页面,在登录口尝试了很久也进不去,直接通过爆破,错误超过10次,即可触发报错提示,在查看错误提示的响应包,直接看到了用户的密码,这个密码一看就是md5加密的,通过解密得出密码,他的错误提示是已锁定账户密码,这个时候,我们就要想这个错误提示是真的吗,我们可以通过换一个IP测试一下,直接登录成功了
总结:多次错误尝试,导致报错,报错泄露了有价值的密码
不要仅仅去关注提示语,我们要去尝试一下提示是否是真的还是忽悠人的
可以在id的输入出测试一下有没有SQL注入
二、越权删除绕过
直接点击删除,抓包,替换id参数值为受害者的,尝试过无法越权删除,直接通过双写实现绕过越权限制,第一个id是自己的,第二个id是受害者,通过重放越权数据包,删除受害者的领取记录
三、支付续费会员升级
青铜会员:一年33.49
铂金会员:一年45.99
我只想买2年铂金会员,价格为45.99*2=91.98
先买1年的青铜会员,价格为33.49
紧接着再买1年铂金会员,价格为45.99
最终到账2年铂金会员,总花销: 33.49+45.99=79.48
四、小数点的妙用
背景:这是一个广告页的场景,我们会做自己的推广页,给官方审核,审核通过了,才会去做一个推广
删除已经通过审核的推广页,抓包,直接修改状态码为其他整数,1、2、3、5、6,发现是失败的,报没有权限进行操作
直接修改status参数值为4.1,重放数据包,成功绕过限制实现越权绕过审核机制
总结:在漏洞的挖掘过程当中,一定要多次尝试,说不定会有意外的惊喜
五、任意用户接管
A账号绑定手机号199
来到B账号这里,修改用户名,修改成A用户的不行,修改成系统其它的已经存在的,也不行,因为有前端的一个判断
B账号修改成没有使用的用户名,点修改抓包,把用户名在修改成A的username,从而实现绕过第二步的限制
刷新一下,发现b账号的页面,全部变成A账号的页面,直接实现接管A账号
六、AK、AS泄露
背景:现在很多厂商都是把各种业务迁到各种云,相比于传统的机房就会有更多的云安全漏洞,云安全漏洞里面最常见的就是AK、AS泄露
通过翻看前端的js页面,找到了确实是存在AK、AS泄露的页面,通过阿里云的oss,使用阿里云的oss浏览器成功实现了登录
七、隐藏商品实现低价支付
点击购买抓包,替换商品id参数值为隐藏商品的99,就是遍历到99的时候,发现是有商品的,例如7天的会员只需一块钱
最常见的是经过618大促、双十一大促就会产生一些便宜的商品,或者是开发人员为了测试留下来的,或者说经历过一个活动之后,没有下架,或者说前端的一个隐藏从而遗留下来的
八、低危漏洞的深度利用
本来一个prometheus信息泄露,也就是低危或者忽略的洞
注意看resource路径,直接泄露大量目录
直接把泄露的目录进行拼接访问,直接泄露大量员工等敏感信息
总结:大家遇到低危漏洞不要直接交上去,要深度利用一下
三、入门学习方法
1、目标选择:资产多、新上线的SRC、漏洞接收门槛低
因为前期挖洞的手法不熟,思路和操作有限,你是挖不到的,这个时候要是SRC的站跟我们平时做项目挖的站一样,就好了,但如果说SRC的资产很少,那我们的想法就基本上不可能实现,因为他就那几个站,翻来覆去的去测试,早就被别人挖过了,但如果说资产很多,我们通过前期的信息收集,肯定会挖到一些边缘的资产,虽然是边缘,但也会增强你的自信心
选择新上线的,因为新上线的大家都是在一个起跑线上,都没有被挖过很多次,所以说,对新手来说是比较友好的
对一些SRC平台来说,像反射型XSS和没有敏感信息泄露的信息泄露漏洞不要的,如果一开始去挖这种平台的SRC,那肯定是去打击自信心,因为一开始去挖洞是很难去挖到很严重的漏洞的
前期都是通过去挖一些低危漏洞,来增强自信心
2、技能学习:多去B站、微信公众号、博客等地方去学习新知识
持续的保持学习的心态
3、内部交流:找一个不错的安全团队,参与内部交流,共同进步
因为挖洞是需要一个圈子的,如果说你没有一个圈子,经常挖漏洞挖不到,这个时候就会没有动力,如果有人能够跟你一块交流分享,还是很有必要的
多去看看别人挖漏洞的案例,对我们来说也是一种成长,因为你只有见过别人挖过的漏洞,你才会知道怎么玩
SRC漏洞批量挖掘一种思路
目录
前言
以上是关于SRC漏洞挖掘笔记的主要内容,如果未能解决你的问题,请参考以下文章
第12阶段 SRC安全应急响应中心漏洞挖掘视频教程第七期课程 9.代码执行和命令执行漏洞基础与SRC挖掘经验
第12阶段 SRC安全应急响应中心漏洞挖掘视频教程第七期课程 6.XSS漏洞基础与SRC漏洞经验 7.SQL注入基础与SRC漏洞经验