SRC漏洞挖掘笔记

Posted 2023-04-04 山兔1

一、信息收集技巧
不盲目、有目的
渗透测试的本质是信息收集，但是在src漏洞挖掘当中，这句话或许没有那么正确，因为src决定了资产范围都很死，都是限定了一小部分的资产，像除资产以外的漏洞都是不收的，所以我们要是不限范围的去收集信息，会导致时间被浪费或者说对我们本次漏洞是没有意义的
为什么要做信息收集
因为我们通过SRC平台给出的资产范围，其实是不能够得出我们的渗透测试思路，这个时候我们就要去信息收集，得到资产的信息，分析出最薄弱点，对其进行渗透测试
信息收集技巧分享
通过公告获取信息
1、明确报告书写要求
2、明确资产收录范围
APP
根域名
只有知道根域名，我们才能收集子域名
小程序
微信小程序，支付宝小程序、QQ小程序
微信公众号
测试环境信息
如果公告里面，没有说收测试环境的，那基本上是不收的
也要关注禁止行为，不可触碰法律底线!
总结：先看公告，获取到一些信息，然后再利用一些手法获取到一些信息
工具不能少，介绍一些好用工具
灯塔ARL (资产侦察灯塔系统) : https://github.com/TophantTechnology/ARL/
目前只能用在centos7的系统里面
改造方案:
1、增强指纹: https://github.com/loecho-sec/ARL-Finger-ADD
2、增强子域名字典: ARL/app/dicts/domain_2w.txt
3、增强文件泄露字典: ARL/app/dicts/file_top_2000.txt
一点点的靠手工去收集信息太慢了，可以用一些工具加快速度

水泽-信息收集自动化工具: https://github.com/0x727/ShuiZe_0x727
功能:备案反查顶级域名、爱企查、Github敏感信息、爬虫、证书、子域名A记录、HOST碰撞动态链接和后台地址、网络空间搜索引擎、服务识别等

空间测绘
fofa: https://fofa.info
hunter: https://hunter.qianxin.com/

搜索引擎，使用google hacker搜索
搜索语法: site:example.com 账号密码

App、小程序收集: 小蓝本，https://www.xiaolanben.com/pc
爱企查、企查查

JS敏感信息收集: FindSomething
项目地址: https://github.com/momosecurity/FindSomething
关注path路径，通过路径可以找到很多的目录，再通过路径的拼接，看看有没有未授权访问、目录遍历的漏洞
可以通过信息收集，看看有没有框架漏洞，利用一下
二、挖洞案例分享
一、管理员密码泄露
渗透测试思路：在登录口，我们第一个想到的就是弱口令、SQL注入、框架漏洞、js未授权访问漏洞、敏感信息泄露

登录框页面，在登录口尝试了很久也进不去，直接通过爆破，错误超过10次，即可触发报错提示，在查看错误提示的响应包，直接看到了用户的密码，这个密码一看就是md5加密的，通过解密得出密码，他的错误提示是已锁定账户密码，这个时候，我们就要想这个错误提示是真的吗，我们可以通过换一个IP测试一下，直接登录成功了
总结：多次错误尝试，导致报错，报错泄露了有价值的密码
不要仅仅去关注提示语，我们要去尝试一下提示是否是真的还是忽悠人的
可以在id的输入出测试一下有没有SQL注入
二、越权删除绕过
直接点击删除，抓包，替换id参数值为受害者的，尝试过无法越权删除，直接通过双写实现绕过越权限制，第一个id是自己的，第二个id是受害者，通过重放越权数据包，删除受害者的领取记录
三、支付续费会员升级
青铜会员:一年33.49
铂金会员:一年45.99
我只想买2年铂金会员，价格为45.99*2=91.98
先买1年的青铜会员，价格为33.49
紧接着再买1年铂金会员，价格为45.99
最终到账2年铂金会员，总花销: 33.49+45.99=79.48
四、小数点的妙用
背景：这是一个广告页的场景，我们会做自己的推广页，给官方审核，审核通过了，才会去做一个推广
删除已经通过审核的推广页，抓包，直接修改状态码为其他整数，1、2、3、5、6，发现是失败的，报没有权限进行操作
直接修改status参数值为4.1，重放数据包，成功绕过限制实现越权绕过审核机制
总结：在漏洞的挖掘过程当中，一定要多次尝试，说不定会有意外的惊喜
五、任意用户接管
A账号绑定手机号199
来到B账号这里，修改用户名，修改成A用户的不行，修改成系统其它的已经存在的，也不行，因为有前端的一个判断
B账号修改成没有使用的用户名，点修改抓包，把用户名在修改成A的username，从而实现绕过第二步的限制
刷新一下，发现b账号的页面，全部变成A账号的页面，直接实现接管A账号
六、AK、AS泄露
背景：现在很多厂商都是把各种业务迁到各种云，相比于传统的机房就会有更多的云安全漏洞，云安全漏洞里面最常见的就是AK、AS泄露
通过翻看前端的js页面，找到了确实是存在AK、AS泄露的页面，通过阿里云的oss，使用阿里云的oss浏览器成功实现了登录
七、隐藏商品实现低价支付
点击购买抓包，替换商品id参数值为隐藏商品的99，就是遍历到99的时候，发现是有商品的，例如7天的会员只需一块钱
最常见的是经过618大促、双十一大促就会产生一些便宜的商品，或者是开发人员为了测试留下来的，或者说经历过一个活动之后，没有下架，或者说前端的一个隐藏从而遗留下来的
八、低危漏洞的深度利用
本来一个prometheus信息泄露，也就是低危或者忽略的洞
注意看resource路径，直接泄露大量目录
直接把泄露的目录进行拼接访问，直接泄露大量员工等敏感信息
总结：大家遇到低危漏洞不要直接交上去，要深度利用一下
三、入门学习方法
1、目标选择:资产多、新上线的SRC、漏洞接收门槛低
因为前期挖洞的手法不熟，思路和操作有限，你是挖不到的，这个时候要是SRC的站跟我们平时做项目挖的站一样，就好了，但如果说SRC的资产很少，那我们的想法就基本上不可能实现，因为他就那几个站，翻来覆去的去测试，早就被别人挖过了，但如果说资产很多，我们通过前期的信息收集，肯定会挖到一些边缘的资产，虽然是边缘，但也会增强你的自信心
选择新上线的，因为新上线的大家都是在一个起跑线上，都没有被挖过很多次，所以说，对新手来说是比较友好的
对一些SRC平台来说，像反射型XSS和没有敏感信息泄露的信息泄露漏洞不要的，如果一开始去挖这种平台的SRC，那肯定是去打击自信心，因为一开始去挖洞是很难去挖到很严重的漏洞的
前期都是通过去挖一些低危漏洞，来增强自信心
2、技能学习:多去B站、微信公众号、博客等地方去学习新知识
持续的保持学习的心态
3、内部交流:找一个不错的安全团队，参与内部交流，共同进步
因为挖洞是需要一个圈子的，如果说你没有一个圈子，经常挖漏洞挖不到，这个时候就会没有动力，如果有人能够跟你一块交流分享，还是很有必要的
多去看看别人挖漏洞的案例，对我们来说也是一种成长，因为你只有见过别人挖过的漏洞，你才会知道怎么玩

SRC漏洞批量挖掘一种思路

目录

前言

漏洞举例

漏洞的批量检测

域名和权重的批量检测 

漏洞提交 

---

前言