查看原文
其他

SRC挖掘葵花宝典

Windsss 听风安全 2023-11-28

 

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

Part1 前言 

前段时间一直在忙着摆烂,最近正好有时间趁周末肝一篇文章出来供大家学习学习。本篇文章主要针对想挖SRC但是一直不知道怎么入手的新手,还有一直在挖SRC但是还没有产出的小白,希望读了本篇文章能助力你挖到属于自己的第一个洞。

Part2 工具篇

俗话说“工欲善其事,必先利其器”。在开始正式挖洞之前肯定是要把自己的武器库充实起来。

1.BURP插件

HaE:

https://github.com/gh0stkey/HaE

HaE是基于 BurpSuite Java插件API 开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。

BurpCrypto:

https://github.com/whwlsfb/BurpCrypto

BurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuite插件。

Turbo Intruder:

https://github.com/PortSwigger/turbo-intruder

Turbo Intruder是Burp Suite的扩展,用于发送大量HTTP请求并分析结果。它旨在通过处理需要异常速度、持续时间或复杂性的攻击来补充Burp Intruder。

AutoRepeater:

https://github.com/nccgroup/AutoRepeater

AutoRepeater将只重新发送由定义的替换更改的请求。当AutoRepeater收到与为给定选项卡设置的条件相匹配的请求时,AutoRepeator将首先将每个定义的基本替换应用于该请求,然后将为每个定义的替换执行的基本替换复制该请求,并将给定替换应用于请求。

Autorize:

https://github.com/Quitten/Autorize

Autorize是Burp Suite的自动授权强制检测扩展。它是由应用程序安全专家Barak Tawily用Python编写的。Autorize旨在通过执行自动授权测试来帮助安全测试人员。在上一个版本中,Autorize还可以执行自动身份验证测试。

RouteVulScan:

https://github.com/F6JO/RouteVulScan

RouteVulScan是使用java语言基于burpsuite api开发的可以递归检测脆弱路径的burp插件。

插件可以通过被动扫描的方式,递归对每一层路径进行路径探测,并通过设定好的正则表达式匹配响应包的关键字,展示在VulDisplay界面。可以自定义相关路径、匹配信息、与漏洞名称等。

插件重点是那些简单而有害的漏洞。这些漏洞通常不是固定路径,但可能位于路径的任何层。在这种情况下,非常容易忽视这些漏洞,而如果使用路径爆破,则非常耗时和麻烦。

所以插件主打是发送数量小、准确的payload,尽可能覆盖面广的探测一些容易忽略的漏洞。

2.子域名收集

oneforall:

https://github.com/shmilylty/OneForAll

OneForAll是一款功能强大的子域收集工具

水泽:

https://github.com/0x727/ShuiZe_0x727

一条龙服务,只需要输入根域名即可全方位收集相关资产,并检测漏洞。也可以输入多个域名、C段IP等。

ARL灯塔:

https://github.com/TophantTechnology/ARL

旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。

子域名挖掘机(无参考地址)

资产测绘:

https://fofa.info/

https://hunter.qianxin.com/

https://0.zone/

3.目录探测

dirsearch:

https://github.com/maurosoria/dirsearch

目录探测主要依靠字典的强大与否不过多介绍其他工具,建议在平时渗透过程中养成一个积累字典的好习惯,遇到不常见的路径可添加到字典中,以便下次遇到快速检测发现。

4.接口收集

浏览器插件:

FindSomething

浏览器商店中自行下载即可

JSFinder:

https://github.com/Threezh1/JSFinder

JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。

URLFinder:

https://github.com/pingc0y/URLFinder

URLFinder是一款快速、全面、易用的页面信息提取工具

用于分析页面中的js与url,查找隐藏在其中的敏感信息或未授权api接口

浏览器自带

F12-sources

5.端口探测

Nmap、Masscan、Goby等

6.指纹识别

Ehole:

https://github.com/EdgeSecurityTeam/EHole

EHole是一款对资产中重点系统指纹识别的工具,在红队作战中,信息收集是必不可少的环节,如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic...)。EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统,从而实施进一步攻击。

Glass:

https://github.com/s7ckTeam/Glass

Glass是一款针对资产列表的快速指纹识别工具,通过调用Fofa/ZoomEye/Shodan/360等api接口快速查询资产信息并识别重点资产的指纹,也可针对IP/IP段或资产列表进行快速的指纹识别。

浏览器插件-Wappalyzer

浏览器商店自行下载即可

Part3 资产收集

1.SRC活动

微信搜一搜

百度、谷歌搜索关键字

2.确认资产范围

SRC官网

例如:饿了么

爱企查、企查查

例如:网易

通过股权穿透,查找控股较高的子公司 扩大资产范围

小蓝本

https://www.xiaolanben.com

查找小程序、APP等资产 扩大资产范围

Part4 敏感信息收集

学会敏感信息收集挖洞如喝水一般简单,提供一些常见思路,就不做详细案例介绍了

1.微信小程序反编译查找AK、SK等

2.APP反编译查找查找AK、SK等

3.Github关键字搜索

4.各个网盘搜索

5.路径FUZZ(遇到404,403页面,多层路径FUZZ)

6.谷歌HACK语法

7.JSFinder、FindSomething等查找敏感接口

8.其它端口路径FUZZ

9.插件被动探测敏感接口、路径

Part5 浅谈隐私合规

隐私合规这个也是近些年才被重视起来的一个方向吧,越来越多的SRC开始收隐私合规相关的漏洞,个人对这方面了解还是比较浅,简单说说几个在SRC中可能会用到的思路。

1.隐私政策同意前收集

2.收集权限超出声明范围

3.程序自启动

4.违反个人信息保护法

5.未向用户提供定向推送关闭功能选项的行为

6.隐私合规代码自动化审计

下图为某个SRC隐私漏洞认定范围清单

大多数接受隐私合规漏洞的SRC都会在官网给出详细介绍,可以多看看相关介绍拓宽思路。不过值得一提的是隐私合规代码自动化审计,看过几篇相关文章实现了自动化的隐私合规漏洞挖掘,思路确实很顶,有兴趣的师傅可以自行搜索进行学习。

Part5 浅谈逻辑漏洞

可能大多数人在SRC提交的第一个漏洞就是逻辑漏洞了,当然如果你是少数人当我没说,逻辑漏洞上手快,思路广,不需要太强的知识储备,但是危害也不会低,新手如果想挖到属于自己的第一个漏洞可尝试从逻辑漏洞入手是一个不错的选择。

网上关于逻辑漏洞的文章天花乱坠很多很多,接下来就分享几个常见的思路,如果想深入学习可自行搜索相关文章。

1.越权漏洞

水平越权,顾名思义就是两个同等权限的账户进行越权操作

垂直越权,低权限越权操作高权限账户才有的业务或者功能等。

越权漏洞算是很常见的一个漏洞了,测越权漏洞可用工具篇介绍的AUTO两个插件进行辅助操作减少工作量增加效率,除了测试常见参数ID、UID等还要多尝试不常见但存在规律的参数也很有可能存在越权。

2.验证码漏洞

短信轰炸:没有对验证码的发送时间、IP等作限制。

绕过思路

①.如果做了限制可用工具篇中提到的Turbo Intruder插件进行并发绕过测试。

②.尝试使用Fakeip插件伪造XFF请求头进行绕过

③.特殊格式绕过如:添加逗号,空格、086、+86、00、换行符等等

验证码回显

一个比较鸡肋的漏洞,遇到过几次验证码直接回显在返回包中的,看运气。

万能验证码

顾名思义验证码是万能的,有的开发人员在开发过程中可能会设置一些万能的验证码方便测试,后期上线忘记删除导致万能验证码的存在,比如000000,888888等等。

暴力破解

短信验证码可能是四位数或者六位数的,如果不存在限制可尝试爆破进行登录,有的厂商是会收六位数验证码爆破的,但是也有部分厂商不会收取,看运气。

3.登录前

任意用户登录

遇到组多的可能就是修改返回包然后任意用户登录,遇到登录页面多尝试修改返回包可能有意想不到的效果,有的可能不清楚返回包参数应该修改成什么,这个时候可尝试审计JS寻找正确参数。

任意密码重置

任意密码重置跟任意用户登录思路其实差不多大部分通过修改返回包来实现,但是可能会遇到返回包比较复杂的这种情况,这个时候可以尝试走一遍正常流程去重置密码然后记录返回包,然后利用此返回包来进行替换修改等操作。利用这个思路也是挖到过某个系统的通杀。

验证码DDOS

这个漏洞不建议测试,但是比较有趣就写出来了,在登录站点的时候经常会有各种奇奇怪怪的验证码,相信比较心细的师傅会观察到这个验证码有的是会有高度和宽度的,如果height和width可被修改当修改成一个极大值时可能会对站点造成DDOS。第一次见这个洞还是在前几年在乌云上某个师傅提交的。

JS加密逆向

大多数登录界面都会对username和password参数做加密,但是本着世上无难事只要肯放弃的原则还是有办法的,可通过逆向JS代码查找加密方式,找到加密方式就方便进行爆破或者改包尝试其他漏洞了,想深入学习这块知识的师傅可查看公众号历史文章有带案例的详细讲解。

以上只是简单举例了几个常见的登录前测试思路,还有很多思路可自行搜索学习。

4.登录后

登录后就没有固定的思路了,主要还是看业务功能点猜测可能存在什么样的漏洞,比如看到留言板或客服对话框就想到XSS,看到头像想到文件上传,查询信息的地方是否存在越权等等,也要学会尝试打组合拳,有时候拿到一个低危漏洞可能在打组合拳之后就能到高危。发挥发散性思维,本来逻辑漏洞讲究的就是一个脑洞大开!

5.并发思路

提供几个常见思路

1.并发进行短信轰炸 在前面已经有过讲解

2.并发点赞或者并发取消点赞

3.并发关注或者并发取消关注

4.并发领取代金券、优惠券等(并发领取活动奖品)

5.万物皆可并发,凡是存在限制的地方就可以尝试并发进行绕过

以上只是大概介绍了几个常见的逻辑漏洞,还有很多很多需要你自己去发现。

Part6 浅谈XSS漏洞

XSS类型介绍

老生常谈的XSS漏洞,也是挖SRC的一个利器!

反射型、DOM型、存储型

XSS常用标签

总结一下常用的标签就不一一举例了

scirpt 、img 、input 、details 、svg、select 、iframe 、video 、audio 、body textarea、keygen、marquee 、isindex 等可自行查询用法

利用 JavaScript 伪协议

a 标签

<a href="javascript:alert(666);">xss</a>

iframe 标签

<iframe src=javascript:alert(666);></iframe>

form 标签

<form action="Javascript:alert(666)"><input type=submit>


XSS绕过姿势

绕过空格过滤

当空格被过滤了时,我们可以用 / 来代替空格:

<img/src="x"/onerror=alert(1);>

也可以:

<img/src="x"onerror=alert(1);>

绕过引号过滤

如果是html标签中,我们可以不用引号。如果是在js中,我们可以用反引号代替单双引号:

<img src=x onerror=alert(`xss`);>

大小写绕过

<sCRiPt>alert(1);</sCrIpT>
<ImG sRc=x onerRor=alert(1);>

双写绕过

有些waf可能会只替换一次且是替换为空,这种情况下我们可以考虑双写关键字绕过

<scrscriptipt>alert(1);</scrscriptipt>
<imimgg srsrcc=x onerror=alert(1);>


还有HTML实体编码、URL编码、Unicode 编码等绕过姿势。如果在测试过程中过滤了常见的on事件比如onclick、onerror等可尝试使用其他on事件进行绕过,总之就是不断尝试,在尝试中有所收获!


不可错过的往期推荐哦


SRC漏洞挖掘之看不见的羊毛

供应链投毒事件调查:一个免杀爱好者沦为“肉鸡”的全过程!

【蓝队篇】Weblogic反序列化攻击不依赖日志溯源攻击时间

从钓鱼邮件溯源到反制上线

记一次渗透中的Password加密爆破过程

【蓝队篇】jsp型webshell被删情况下如何溯源攻击时间

达梦数据库手工注入笔记

点击下方名片,关注我们

觉得内容不错,就点下“”和“在看

如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存