|
前言 [color=rgba(0, 0, 0, 0.9)]渗透测试的灵魂是信息收集,本体是在漏洞利用。收集到的资产和信息越多,你的突破点就越多,因为你找到了别人没有找到的,你测了他没有测试的,你已经领先在了起跑线上,而src得用大量的时间去做信息收集,src比的不只是技术,更比的的是耐心,细心。 信息收集篇[color=rgba(0, 0, 0, 0.9)]第一步:厂商域名:厂商的域名可以通过爱企查,企查查这类的工具去搜索主域名他曾用过的一些域名 [color=rgba(0, 0, 0, 0.9)]免费会员: [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]icp备案也可以,但是注意要输入公司名全称 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]另外推荐奇安信的鹰图平台,可以用关键词查询备案网站 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]第二步:子域名:将收集到的域名进行子域名挖掘,针对子域名以下几点: [color=rgba(0, 0, 0, 0.9)]通过SSL证书查询:crt.sh 可以查到域名证书相关子域名 [color=rgba(0, 0, 0, 0.9)]第三方接口网站:censys.io 、 fofa、dnsdb.io等等 [color=rgba(0, 0, 0, 0.9)]工具挖掘:oneforall、 layer等 [color=rgba(0, 0, 0, 0.9)]在线子域名挖掘(个人认为比较好用):phpinfo.me [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]通过github进行收集:这个不好细说,懂得都懂。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]第三步:查询IP段,在查询玩子域名后我们已经获得了大量的IP 我们可以通过IP所属网络进行反差查找厂商所拥有的IP段: [color=rgba(0, 0, 0, 0.9)]https://ipwhois.cnnic.cn/index.jsp [color=rgba(0, 0, 0, 0.9)]这个不仅可以通过IP查询所属单位和网络名称还可以通过网络名称再反查网络段 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]第四步:获取IP后,进行批量的端口扫描,这里各位就各凭本事,谁还不会个端口扫描了? [color=rgba(0, 0, 0, 0.9)]信息收集就说到这里,信息收集的主要目的就是扩大可利用面,10000万个资产你可能碰到弱口令,但1个资产你肯定没有弱口令 挖掘前篇[color=rgba(0, 0, 0, 0.9)]前边已经讲了信息收集,在测试前为了能高效的挖掘src,就需要有数据进行测试,这个数据就是我们常说的字典,字典怎么来,整理,收集,经验,积累。先说以下字典的类型:
[color=rgba(0, 0, 0, 0.9)]目录字典:目录探测、后台探测、功能探测 [color=rgba(0, 0, 0, 0.9)]漏洞字典:除了常规的目录字典,收集漏洞字典也是很有必要的,如spring-boot框架的字典、git泄漏、压缩文件泄漏、系统配置等 [color=rgba(0, 0, 0, 0.9)]参数字典:这类的字典很多,需要自己收集,比如密码,用户名,常见参数,等字典 [color=rgba(0, 0, 0, 0.9)]漏洞fuzz:xss payload、上传payload等 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]这些都需要进行灵活的使用,能极大的我们的挖掘漏洞过程中的效率。 挖掘篇[color=rgba(0, 0, 0, 0.9)]首先讲一下漏洞挖掘的方向 [color=rgba(0, 0, 0, 0.9)]一般来讲个大src的侧重不同,如果经常跟一家src,那么有新功能上线就能快人一步发现漏洞,其次除了web业务应用,app、小程序等服务也是挖掘的重点。当然在挖掘的过程中会遇到抓不到数据包、app闪退、全流量加密、waf拦截等各种问题,这些网上都有相应的解决方法,只能在遇到的过程中逐步解决,也可以参考雷石之前发的文章。 [color=rgba(0, 0, 0, 0.9)]最后着重讲一下逻辑漏洞,其他漏洞也有多,但是大厂除了逻辑漏洞外,其他漏洞相对少些,上传、csrf、xss、sql注入等也是有的,重点还是从功能上看,尽可能对相关业务功能很熟悉,可以猜测参数意义,看到某些参数就能去知道该测哪些漏洞,漏洞挖掘自然不在话下。 [color=rgba(0, 0, 0, 0.9)]这里我主要讲述自己常用来测试逻辑楼的功能点,供大家参考: [color=rgba(0, 0, 0, 0.9)]逻辑漏洞容易出现的地方及相应问题: [color=rgba(0, 0, 0, 0.9)]支付处(订单生成、订单处理) [color=rgba(0, 0, 0, 0.9)]注册处(恶意注册、绑定) [color=rgba(0, 0, 0, 0.9)]登录处(第三方认证、登陆绕过、凭证伪造、凭证窃取) [color=rgba(0, 0, 0, 0.9)]验证码(验证码无效、不刷新) [color=rgba(0, 0, 0, 0.9)]业务处理(权限管理、业务逻辑绕过) [color=rgba(0, 0, 0, 0.9)]密码找回处(任意密码重置、认证绕过) [color=rgba(0, 0, 0, 0.9)]先说登录处的逻辑缺陷: [color=rgba(0, 0, 0, 0.9)]1,通过用户直接爆破密码 [color=rgba(0, 0, 0, 0.9)]2,做了用户登录锁定,通过密码爆破用户 [color=rgba(0, 0, 0, 0.9)]3,存在返回提示用户名错误,爆破用户名 [color=rgba(0, 0, 0, 0.9)]4,Cookie的伪造,修改字段中的某种来进行登录 [color=rgba(0, 0, 0, 0.9)]5,固定的session,比如修改session中的会话ID造成越权行为 [color=rgba(0, 0, 0, 0.9)]验证码: [color=rgba(0, 0, 0, 0.9)]现在的验证码各种各样,最常见的就是手机验证码登录,这也是逻辑漏洞的所在而验证码的测试主要分为以下种类: [color=rgba(0, 0, 0, 0.9)]时间,和次数的突破:重复提交,待验证码的数据包看返回结果 [color=rgba(0, 0, 0, 0.9)]绕过验证:直接删除cookie或者验证码绕过 [color=rgba(0, 0, 0, 0.9)]篡改:修改相关数值,造成短信轰炸 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]密码找回: [color=rgba(0, 0, 0, 0.9)]在密码找回时通过修改用户名,导致被修改的用户名密码被修改 [color=rgba(0, 0, 0, 0.9)]查看请z求连接中是否携带验证 [color=rgba(0, 0, 0, 0.9)]手机找回密码时,返回包中携带验证码 [color=rgba(0, 0, 0, 0.9)]密码或密保问题出现在源码中
[color=rgba(0, 0, 0, 0.9)]业务逻辑漏洞: [color=rgba(0, 0, 0, 0.9)]业务逻辑出现问题最容易出现的问题就是越权, [color=rgba(0, 0, 0, 0.9)]越权可分为两种,一个是水平越权和垂直越权越权漏洞的常见电 [color=rgba(0, 0, 0, 0.9)]修改、重置、找回其他账户密码 [color=rgba(0, 0, 0, 0.9)]查看、修改其他账户未公开的信息,例如个人资料、文件、数据、程序等 [color=rgba(0, 0, 0, 0.9)]与账户关联的权限操作
[color=rgba(0, 0, 0, 0.9)]水平越权: [color=rgba(0, 0, 0, 0.9)]基于用户身份:比如说可控参数修改1变成2 从张三的账号变成李四 [color=rgba(0, 0, 0, 0.9)]基于文件名:比如下载文件需要收费,通过接口功能访问文件名直接进行下载,读取等操作 [color=rgba(0, 0, 0, 0.9)]基于对象id:通过修改id值去访问其他用户信息
[color=rgba(0, 0, 0, 0.9)]垂直越权: [color=rgba(0, 0, 0, 0.9)]未认证直接访问功能点 [color=rgba(0, 0, 0, 0.9)]不具备某功能权限绕过认证 比如登录后台先访问后台,再跳转到登录界面,通过丢弃验证包直接进入后台,访问后台功能点和数据
[color=rgba(0, 0, 0, 0.9)]支付漏洞: [color=rgba(0, 0, 0, 0.9)]支付漏洞就一句话:数据篡改(当然好多漏洞都可以这么说,哈哈) [color=rgba(0, 0, 0, 0.9)]比如将参数改成1毛通过1毛购买苹果收集等操作。金额,数量都是可以篡改的地方 [color=rgba(0, 0, 0, 0.9)]
小结[color=rgba(0, 0, 0, 0.9)]挖掘src漏洞最主要还是挖掘逻辑漏洞,无非就是耐心,细节,多留意数据包的可疑数据,数据包所实现的功能。
| 
发表于 2024-6-11 23:59:26