干货|SRC漏洞挖掘经验

1337163122

干货|SRC漏洞挖掘经验Jinhao HACK之道 5月7日
收录于话题
#SRC1
#SRC漏洞挖掘1
#SRC挖掘经验1
#漏洞挖掘6
#漏洞利用6
​先谈个人经历，我虽然很早前就想挖掘SRC来锻炼自己，但真正实现起来大概也是2月初的时候。一开始在几大SRC平台，如顺丰SRC，小米SRC等转了两下，真的不知道从何入手。而且，SRC提交这事从来都是前人吃肉后人喝汤的局面，对于这样的平台，综合考虑自身的实力因素，打算先放弃挖掘这样的SRC。然后我在补天SRC开始挖掘，专属SRC的性质与前者一样，所以我先从公益SRC入手。
我是觉得公益SRC对于大佬的吸引力没那么大，对于我等菜鸡可能还能捞点菜汁吃。首个漏洞发现大概在挖掘的第二天发现的，但提交时显示名称已存在，看来大概率是已被人发现的了，有点失望。因此，说说个人鸡贼的一面：
– 我是从第二页公益SRC开始挖掘，因为第一页的一般都是新提交了漏洞刷新上去的，等于被人挖掘了一遍。但有些是新上架的SRC，所以我还是在服务器跑了一个监测脚本，随时发现新情况。
– 我进入页面，首先也是先看一下报告页的“整体趋势”，如果近期有新报告的，我也不看了。因为这种说明近期也有人挖掘了一遍。
– 另外我还会看厂商漏洞情况，如果是提交了很多但没有修复多少的，我也不看了。因为这种大概率挖到重复漏洞，提交也没用。
没办法，总要“功利”点，但我挖掘的每一个SRC都会认真的看每一个点。整个补天的公益SRC，等我逐个看完也够呛的。
思路首先是熟能生巧。我一开始挖洞时，也是看了很多网上的技巧并自己吸收，但做起来总是感觉无能为力。但现在这几天觉得越发轻松，一个网站会不会有洞，有没有隐藏的接口等，都能在几分钟内得出结论。
因为之前算是做过几个渗透测试的项目，所以对于挖洞我也是有一定的了解的。自始至终我都把关注重心放在“交互”上，这个思路也没有错。与ctf不同，每个生产环境都可能独一无二，很难在ctf中找到相似的例子。而且，关键也在于“信息收集”上。
流程浏览器：谷歌（搜索引擎）、火狐（配合bp抓包）
工具：fiddler（抓js交互包）、bp（抓包、重包）
脚本：自己写的垃圾扫描器，有什么不好用的地方当场改进，挺好的。其它漏扫几乎没用过。
1.首先对应的企业网址点击“提交漏洞”按钮可以看，这个也是我首次提交报告时发现的，一开始我还怕会不会“攻击”了非授权页面，总是心惊胆战的。
2.然后我会进入网站看看，浏览器左下角会显示各个链接的url，重点关注那些带?的。如果整个网站都没几个功能，就几个展示页面，这种我就…(跳4算了，都没什么好看的)
3.跟进链接，然后就开始抓包了。等到我挖洞的时候，我才发现，即使一个网站url是:?id=123，但真正起交互的反而是后续的js刷新，即访问一个url会抓到好几个交互，第一个GET请求并不起交互作用。我发现很多网站真的很喜欢用js来发送请求，真的无语，随便就控制住了。
4.开始谷歌hack大法：
– site:domain.com filetype:xls|doc|pdf
– site:domain.com inurl:admin|login|manage
– site:domain.com intitle:管理|后台|登录
– site:domain.com intext:登录|后台|管理|error|debug
总能搜索出一点有价值的东西。搜索filetype并不是真的想看他泄露了什么敏感资料（但我真的看到有啊~），复制链接，开始往上访问，总是能找到403或“管理页面”，这样的url总是暴露了使用什么cms，如wp-content/xx/xx/，另偶尔还能自动跳转到管理员登录页面，这又是新的发现了。
5.根据网站性质选择侧重点：
zf网站：一般都是jsp，数据处理比PHP严谨很多，但语句有错总会返回报错信息。SQL整型的话添加不了什么字母构造payload，但可以试试整型溢出看一下SQL执行语句。
电商平台：一般会有注册登录的功能，可以尝试注册，然后修改头像昵称什么的，另外可以关注优惠券，cookie，越权等，但我遇到的很多都是用dedecms，防护做的很好。
自己diy的网站：这种看不出来是cms的，可能是自己写的前端或自己公司运营的，要么做的很棒，要么就很烂。真的可以每个功能点都试一下，也没什么好说的。但可以重点关注目录跳转。
6.这里是api的故事，如果抓包抓到返回的数据是json的话，我就会折腾上很久。每个参数都fuzz一下，看看能不能返回点什么有价值的信息。
7.说点其它的，事实上目录保护这点很多网站都没做好，总是跳转到后台编辑处，隐藏上传点等。另外，还有在生产环境中开启debug的，真的…
更新近期越挖越累，越来越觉得自己菜。我发现自己只会挖掘一些SQL注入，信息泄露，文件上传还有已知组件缺陷的漏洞，对于某些隐藏透露的点，如报错、类型限制等，有时候感觉是有洞但挖掘不了，有种无从下手的感觉。
个人收获我感觉我并不能在这篇文章里把我是如何挖洞的说清楚，而且很多时候靠经验与知识点。
挖洞与学习新知识并不冲突，令人意外的是，挖洞遇到一些cms并去查相关cve，能记得特别劳。然后我把其中一些操作简单的都写成poc了，也方便自己。
然后说说改变的话，现在一天打开差不多10个网站进行挖掘，差不多都能肉眼识别cms了，无语。
然后期待能在挖洞中得到乐趣与知识吧。
作者：Jinhao
转载于keyboy.xyz