src漏洞挖掘淺談

前言

滲透測試的靈魂是信息收集，本體是在漏洞利用。收集到的資產和信息越多，你的突破點就越多，因為你找到了別人沒有找到的，你測了他沒有測試的，你已經領先在了起跑線上，而src得用大量的時間去做信息收集，src比的不只是技術，更比的的是耐心，細心。

信息收集篇

第一步：廠商域名:廠商的域名可以通過愛企查，企查查這類的工具去搜索主域名他曾用過的一些域名

免費會員:

https://mp.weixin.qq.com/s/h1qdBXeS4KoFzLyRVAf_LQ

icp備案也可以，但是注意要輸入公司名全稱

另外推薦奇安信的鷹圖平臺，可以用關鍵詞查詢備案網站

第二步：子域名：將收集到的域名進行子域名挖掘，針對子域名以下幾點：

通過SSL證書查詢:crt.sh 可以查到域名證書相關子域名

第三方接口網站：censys.io 、 fofa、dnsdb.io等等

工具挖掘：oneforall、 layer等

在線子域名挖掘（個人認為比較好用）:phpinfo.me

通過github進行收集：這個不好細說，懂得都懂。

第三步：查詢IP段，在查詢玩子域名后我們已經獲得了大量的IP 我們可以通過IP所屬網絡進行反差查找廠商所擁有的IP段：

https://ipwhois.cnnic.cn/index.jsp 

這個不僅可以通過IP查詢所屬單位和網絡名稱還可以通過網絡名稱再反查網絡段

第四步：獲取IP后，進行批量的端口掃描，這里各位就各憑本事，誰還不會個端口掃描了？

信息收集就說到這里，信息收集的主要目的就是擴大可利用面，10000萬個資產你可能碰到弱口令，但1個資產你肯定沒有弱口令

挖掘前篇

前邊已經講了信息收集，在測試前為了能高效的挖掘src，就需要有數據進行測試，這個數據就是我們常說的字典，字典怎么來，整理，收集，經驗，積累。先說以下字典的類型：

目錄字典：目錄探測、后臺探測、功能探測

漏洞字典：除了常規的目錄字典，收集漏洞字典也是很有必要的，如spring-boot框架的字典、git泄漏、壓縮文件泄漏、系統配置等

參數字典：這類的字典很多，需要自己收集，比如密碼，用戶名，常見參數，等字典

漏洞fuzz：xss payload、上傳payload等

這些都需要進行靈活的使用，能極大的我們的挖掘漏洞過程中的效率。

挖掘篇

首先講一下漏洞挖掘的方向

一般來講個大src的側重不同，如果經常跟一家src，那么有新功能上線就能快人一步發現漏洞，其次除了web業務應用，app、小程序等服務也是挖掘的重點。當然在挖掘的過程中會遇到抓不到數據包、app閃退、全流量加密、waf攔截等各種問題，這些網上都有相應的解決方法，只能在遇到的過程中逐步解決，也可以參考雷石之前發的文章。

最后著重講一下邏輯漏洞，其他漏洞也有多，但是大廠除了邏輯漏洞外，其他漏洞相對少些，上傳、csrf、xss、sql注入等也是有的，重點還是從功能上看，盡可能對相關業務功能很熟悉，可以猜測參數意義，看到某些參數就能去知道該測哪些漏洞，漏洞挖掘自然不在話下。

這里我主要講述自己常用來測試邏輯樓的功能點，供大家參考：

邏輯漏洞容易出現的地方及相應問題：

支付處（訂單生成、訂單處理）

注冊處（惡意注冊、綁定）

登錄處（第三方認證、登陸繞過、憑證偽造、憑證竊取）

驗證碼（驗證碼無效、不刷新）

業務處理（權限管理、業務邏輯繞過）

密碼找回處（任意密碼重置、認證繞過）

先說登錄處的邏輯缺陷：

1，通過用戶直接爆破密碼

2，做了用戶登錄鎖定，通過密碼爆破用戶

3，存在返回提示用戶名錯誤，爆破用戶名

4，Cookie的偽造，修改字段中的某種來進行登錄

5，固定的session，比如修改session中的會話ID造成越權行為

驗證碼：

現在的驗證碼各種各樣，最常見的就是手機驗證碼登錄，這也是邏輯漏洞的所在而驗證碼的測試主要分為以下種類：

時間，和次數的突破：重復提交，待驗證碼的數據包看返回結果

繞過驗證：直接刪除cookie或者驗證碼繞過

篡改：修改相關數值，造成短信轟炸

密碼找回：

在密碼找回時通過修改用戶名，導致被修改的用戶名密碼被修改

查看請z求連接中是否攜帶驗證

手機找回密碼時，返回包中攜帶驗證碼

密碼或密保問題出現在源碼中

業務邏輯漏洞:

業務邏輯出現問題最容易出現的問題就是越權，

越權可分為兩種，一個是水平越權和垂直越權越權漏洞的常見電

修改、重置、找回其他賬戶密碼

查看、修改其他賬戶未公開的信息，例如個人資料、文件、數據、程序等

與賬戶關聯的權限操作

水平越權：

基于用戶身份：比如說可控參數修改1變成2 從張三的賬號變成李四

基于文件名：比如下載文件需要收費，通過接口功能訪問文件名直接進行下載，讀取等操作

基于對象id:通過修改id值去訪問其他用戶信息

垂直越權：

未認證直接訪問功能點

不具備某功能權限繞過認證 比如登錄后臺先訪問后臺，再跳轉到登錄界面，通過丟棄驗證包直接進入后臺，訪問后臺功能點和數據

支付漏洞：

支付漏洞就一句話：數據篡改（當然好多漏洞都可以這么說，哈哈）

比如將參數改成1毛通過1毛購買蘋果收集等操作。金額，數量都是可以篡改的地方

小結

挖掘src漏洞最主要還是挖掘邏輯漏洞，無非就是耐心，細節，多留意數據包的可疑數據，數據包所實現的功能。