SRC漏洞挖掘與最重要的環節——信息收集

SRC挖掘有很多平臺，比如EDUSRC，比如公益SRC：補天、漏洞盒子等，還有就是一些企業SRC。

對于挖掘src的小伙伴來說第一步都是對資產進行收集，所以本篇文章首先介紹一下SRC的上分思路，然后會具體講解一下信息收集的思路。

公益SRC

對于公益SRC來說，會存在各種各樣的漏洞，SQL注入、反射XSS、存儲XSS、任意注冊、cms通殺、弱口令還有邏輯漏洞，公益SRC主要比拼的無非就是手速，手速決定一切，提交的最多的一般還是sql注入、弱口令、和cms通殺。公益SRC想要沖榜的話可以選擇一些有大的安全活動的時間，大佬們去參加安全活動，這個時候可以取巧，上榜會稍微輕松一點。對于公益SRC來說，想要沖榜就不能在一個站上浪費大量時間，公益SRC對洞的質量要求不高，所以只要 花時間，還是可以上榜的。

谷歌鏡像站：http://scholar.hedasudi.com/

SQL注入

SQL注入的話主要通過google語法或者fofa進行搜索查找，使用inurl關鍵字在谷歌中搜索。

如：inurl:php?id=、inurl:asp?id、inurl:Show.asp?ID= 等等。

注意：不管是使用Google和fofa進行特定網站搜索，還是進行信息收集，只使用一種關鍵字對站點去進行查找是絕對無法找全的，關鍵字有很多，思路也有很多，思維不能局限住，要不斷地去變換。

可以嘗試這么去構造Google語句：地區inurl:"type_id=1"、行業inurl:"ptherinfo.asp?id=1"

地區和行業可以任意替換，在提交漏洞的地方通常會有一個選項，選擇漏洞所屬地區和所屬行業，可以以此為準一個一個找，之后還可以將php替換為asp、aspx、jsp等站點。

在對某站點進行測試SQL注入的時候，先通過一些方式測試是否可能存在漏洞，然后可以直接sqlmap一把梭，也可以手工測試，然后提交漏洞。

XSS

對于XSS來說可能并不好找，所以我認為沒必要太刻意的去挖XSS，不管是反射型還是存儲型，所以我認為在測試sql注入的時候順帶對XSS進行測試就好了。但是如果想要專門挖xss，在實戰中學習，也可以通過和sql注入一樣的語法，改變幾個關鍵字就好了，比如：地區inurl:"search?kw="、inurl:'Product.asp?BigClassName'

任意注冊

如果你想要挖任意注冊漏洞，那么你首先需要了解什么是任意注冊，任意注冊是一種程序設計的缺陷，顧名思義就是隨便注冊，不需要什么條件，注冊處無任何驗證。Google語法關鍵詞：地區/行業inurl:"register"、地區/行業inurl:"regp.asp"、Reg.asp、userreg.asp、reg1.asp等。任意注冊算是低危漏洞，不過也有兩分。任意注冊沒多少人挖，可以嘗試挖掘。去漏洞盒子提交漏洞的時候，可以看下漏洞類型，可以挑一些你認為漏洞比較冷門沒人挖并且普遍存在的去下手。

CMS通殺

普通人找通殺的思路無法就是百度谷歌搜索cms通殺，

但是其實這樣的效率并不高，通殺也找不到幾個，這里建議可以去一些漏洞文庫，

建議多進行漏洞復現，多實戰，多積累實戰經驗，復現漏洞也是一種積累。

弱口令

嘗試弱口令的過程比較繁瑣，但是最好老老實實的手工上分，百度或者谷歌語法搜索后臺站點。

如：山西inurl:"后臺"

可以嘗試：

賬號：admin/test/cs/ceshi/test01等 密碼：admin/123456/a123456/admin123/admin123456等。

也可以借助fofa對后臺站點進行搜索：

title="后臺管理" && country="CN"

EDUSRC

fofa語句（查找edu里的管理系統）:

"管理系統" && org="China Education and Research Network Center"

對于EDUSRC來說，想上分的同學主要有兩種方式：

1.挖通用性漏洞。找一些站點或者系統，被廣大學校所使用，覆蓋率很高，再去對這個站點或者系統進行漏洞挖掘，挖掘到之后就可以批量刷分。

2.定點打擊。對一個學校埋頭苦干，通過一些信息泄露或者一些學生的微博、朋友圈等，獲取一些學生的相關信息，比如學號、身份信息號碼、電話等等，嘗試登入校園內網或者登錄校園統一身份認證系統，對內網進行漏洞挖掘，直接日穿。

使用Google語法進行收集：

site:"edu.cn"

inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本內容：

site:域名 intext:管理|后臺|登陸|用戶名|密碼|驗證碼|系統|帳號|admin|login|sys|managetem|password|username

查找可注入點：site:域名 inurl:aspx|jsp|php|asp

查找上傳漏洞：site:域名 inurl:file|load|editor|Files

找eweb編輯器：

site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的數據庫：site:域名 filetype:mdb|asp|#

查看腳本類型：site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵：inurl:cms/data/templates/images/index/

信息收集

滲透測試的本質就是信息收集，

信息搜集的廣度決定了攻擊的廣度，知識面的廣度決定了攻擊的深度。

不管是進行SRC漏洞挖掘，還是做項目進行滲透測試,又或者是打紅藍對抗，一定要做好信息收集。

信息收集很重要，如確定資產，比如他有哪些域名、子域名、C段、旁站、系統、微信小程序或者公眾號，確定好站點或者目標系統之后，就是常規的指紋識別，像中間件、網站，掃目錄，后臺，確定功能然后分析每個功能點上會有哪些漏洞，就比如一個登錄頁面，我們可以考慮的是爆破賬號密碼，社工賬號密碼，SQL注入，XSS漏洞，邏輯漏洞繞過等。

如果大家挖掘SRC的水平都是一樣的或者說我們對于各種操作都是同樣了解的，那么如果超越別人，如果你挖的比別人慢，那么你后期提交的漏洞會撞洞，然后忽略處理。在短時間內你無法去提升你的技術或者是挖掘一個新的思路，這個時候就體現了資產搜集的能力，信息搜集是最難的，也是最麻煩耽誤時間的，且必須要實時去關注的一件事情。

一些常用網站:

ICP備案查詢：https://icp.aizhan.com

權重查詢：https://rank.aizhan.com/www.wondercv.com/

多地ping：https://www.ping.cn/d

whois查詢：https://www.whois365.com/cn/ip/119.23.74.200

IP反查：https://www.ip138.com/iplookup.asp?ip=166.111.53.94&action=2

以xxx公司為例，根域名：xxx.cn

信息收集可以從多個領域來看：公司，子公司，域名，子域名，IPV4，IPV6，小程序，APP，PC軟件等等

可以重點關注備案網站，APP，小程序，微信公眾號，甚至是微博。

這里說一點小思路，首先可以找到官網，用cmd ping他的官網，可以看到IP地址，然后可以定位whois，whois中包含了用戶、郵箱，以及購買的網段。

有了網段就可以進行一些主動信息收集，可以使用一些強大的資產測繪工具，goby的資產測繪還是很不錯的，會有一些web服務，不用擔心沒有banner，往往這些沒有banner的才有問題。

注意觀察一下網站底部是否有技術支持：xxxx|網站建設：xxxx之類的標注，一些建站企業會出于知識產權保護或者是對外宣傳自己的公司，會在自家搭建的網站上掛上技術支持等之類的標注，很多建站企業往往某種類型的網站都是套用的同一套源碼，換湯不換藥，運氣不錯的話，那我們的事件就秒變通用。

子域名收集

Oneforall

盡量多湊一點API，fofa可以找人借一些api，越多越好。

https://github.com/shmilylty/OneForAll

執行命令：

常用的獲取子域名有2種選擇，一種使用--target指定單個域名，一種使用--targets指定域名文件。

python3 oneforall.py --target example.com run

python3 oneforall.py --targets ./domains.txt run

python3 oneforall.py --target xxx.cn run

Kunyu（坤輿）

一款信息搜集工具，包含了很多的接口，包括zoomeyes、360quake

https://github.com/knownsec/Kunyu

JSFinder（JS信息收集）

JSFinder是一個在網頁的JS文件中尋找URL和子域名的工具，在網站的JS文件中，會存在各種對測試有幫助的內容，JSFinder可以幫我們獲取到JS中的url和子域名的信息，擴展我們的滲透范圍。爬取分為普通爬取和深度爬取，深度爬取會深入下一層頁面爬取的JS，時間會消耗的相對較長。

https://github.com/Threezh1/JSFinder

執行命令：python3 JSFinder.py -u http://www.xxx.cn-d -ou JSurl.txt -os JSdomain.txt

運行結束后會生成兩個txt文本，Jsurl.txt為URL里面會有一些接口什么的，Jsdomain.txt為子域名

基于TamperMonkey的版本：https://github.com/Threezh1/Deconstruct/blob/main/DevTools_JSFinder/JSFinder.js

Layer、子域名收割機 進行挖掘

通過這些域名收集工具（layer子域名挖掘機、Maltego CE、wydomain、subDomainsBrue、sublist3r、subfinder）進行挖掘。

在線網站查詢

為了避免IP被封掉，直接使用在線的子域名爆破網站。

http://z.zcjun.com/

http://tool.chinaz.com/subdomain

https://dnsdumpster.com

subDomainBrute

https://github.com/lijiejie/subDomainsBrute

執行命令：

python subDomainsBrute.py -t 10 xxx.cn -o xxx.cn.txt

python subDomainsBrute.py -t 10 --full xxx.cn -o xxx.cn.txt //全掃描。

Sublist3r

Kali和Windows環境下都可以裝這個工具，Sublist3r是一個python版工具，其原理是基于通過使用搜索引擎，從而對站點子域名進行列舉。

Kali：git clone https://github.com/aboul3la/Sublist3r

執行命令：python sublist3r.py -d 6pian.cn -o xxx.cn-sublist3r.txt

DNSdumpster

https://dnsdumpster.com/

非常好用的一個域名搜索網站，還會自動歸納同一個IP的多個域名。

在線域名爆破

http://z.zcjun.com

小藍本

通過小藍本進行查詢：

https://www.xiaolanben.com/

愛企查、企查查、天眼查

https://www.qcc.com/

https://aiqicha.baidu.com/

https://www.tianyancha.com/

之前愛企查活動送了會員，可以更好的進行查詢。

谷歌語法

迅速查找信息泄露、管理后臺暴露等漏洞語法，例如：

filetype:txt 登錄

filetype:xls 登錄

filetype:doc 登錄

intitle:后臺管理

intitle:login

intitle:后臺管理 inurl:admin

intitle:index of /

查找指定網站，再加上site:http://example.com，例如：

site:example.com filetype:txt 登錄

site:example.com intitle:后臺管理

site:example.com admin

site:example.com login

site:example.com system

site:example.com 管理

site:example.com 登錄

site:example.com 內部

site:example.com 系統

谷歌/必應：site:url.com

site:xxx.cn

如果發現檢索出來的很多結果都是www，眾所周知主站一般防御很嚴，如果我們不想看到主站可以直接 -www

site:xxx.cn -www

這樣出來的結果會自動刪去www

Shodan、fofa、zoomeye、360quake等忘了資產搜索引擎

fofa語法

FOFA作為一個搜索引擎，我們要熟悉它的查詢語法，類似google語法，FOFA的語法主要分為檢索字段以及運算符，所有的查詢語句都是由這兩種元素組成的。目前支持的檢索字段包括：domain，host，ip，title，server，header，body，port，cert，country，city，os，appserver，middleware，language，tags，user_tag等等，等等，支持的邏輯運算符包括：=，==，！=，&&，||。

如果搜索title字段中存在后臺的網站，我們只需要在輸入欄中輸入title=“后臺”，輸出的結果即為全網title中存在后臺兩個字的網站，可以利用得到的信息繼續進行滲透攻擊，對于網站的后臺進行密碼暴力破解，密碼找回等等攻擊行為，這樣就可以輕松愉快的開始一次簡單滲透攻擊之旅，而企業用戶也可以利用得到的信息進行內部的弱口令排查等等，防范于未然。

• domain

例：搜索QQ所有的子域名：domain=“qq.com”

• host

例：搜索host內所有帶有qq.com的域名：host=“qq.com”

• ip

例：搜索某個IP上的相關信息：ip=“58.63.236.248”

ip=“111.1.1.1/8”

ip="111.1.1.1/16"

ip="111.1.1.1/24"

• title

例：搜索title包含有“漏洞”的IP：title=“漏洞”

• server

例：Apache出來了一個高危漏洞，我們需要去統計全球的Apache：server=“Apache”

• header

例：搜索前段時間非常火的海康威視：header=“Hikvsion”

• body

例：假如我想搜索微博的后臺，域名為：weibo.com 并且網頁內body包含“后臺”：body=“后臺”&& domain=“weibo.com”

&&：與body=“后臺”&& domain=“weibo.com”提取域名為：weibo.com并且網頁內body包含“后臺”的網站，需要同時滿足兩個條件。

• port

例：想要找非80端口 port！=“80”

!=:port!="80" 匹配端口不為80端口的服務

• cert

搜索證書（https或者imaps等）

例：百度公司為了檢查自己的域名是否還有心臟出血漏洞可以使用語法：cert=“baidu”

• country

搜索指定國家（編碼）的資產

例：搜索中國的服務器 country=“CN”

注：country=“CN” country后面的規則為各國家的縮寫，全球國家縮寫如下連接：

https://zhidao.baidu.com/question/538403206.html

• city

搜索指定城市的資產

例：搜索上海的服務器 city=“Shanghai”

注：搜索城市時填寫城市的全程，首字母必須大寫

• OS

例：搜索centos所有主機 os=“centos”

了解了基礎查詢我們再來說說高級查詢，就是多個基礎查詢語句用邏輯連接符拼成的語句，例如我們要搜索上海的Discus組件，搜索語句時 (title="Discuz" || body="count="Discuz")&&city="Shanghai"

&&：邏輯與

||：邏輯或

上面的語句意思為 (title="Disuz" ||body="content="Discuz") 與city="Shanghai" 這兩個條件必須同時滿足，(title="Discuz" ||body="dontent="Discuz") 中的title=”Discuz“與body=”content=\”Discuz“ 滿足一個即可

FOFA可以從不同維度搜索網絡組件，例如地區，端口號，網絡服務，操作系統，網絡協議等等。目前FOFA支持了多個網絡組件的指紋識別，包括建站模塊、分享模塊、各種開發框架、安全檢測平臺、項目管理系統、企業管理系統、視頻監控系統、站長平臺、電商系統、廣告聯盟、前端庫、路由器、SSL證書、服務器管理系統、CDN、Web服務器、WAF、CMS等等

尤其現在支持icon圖標、logo搜索，非常方便，fofa搜索語法與shodan類似

title="abc" 從標題中搜索abc。例：標題中有北京的網站

header="abc" 從http頭中搜索abc。例：jboss服務器

body="abc" 從html正文中搜索abc。例：正文包含Hacked by

domain="qq.com" 搜索根域名帶有qq.com的網站。例：根域名是qq.com的網站

host=".gov.cn" 從url中搜索.gov.cn,注意搜索要用host作為名稱。例：政府網站, 教育網站

port="443" 查找對應443端口的資產。例：查找對應443端口的資產

可以安裝shodan chrome插件，方便進行查看和使用。

微步在線

微步在線的反向IP查找域名十分好用

整數透明度公開日志枚舉

https://crt.sh/

http://censys.io/

其他途徑

https://phpinfo.me/domain

http://dnz.aizhan.com

旁站查詢

旁站就是在同一臺服務器上搭建的多個網站，使用同一個IP地址。在目標網站無法攻擊成功時，若他的旁站可以成功攻擊并獲取相應的系統權限，這勢必會影響到目標網站的安全性，因為已經獲取到同一臺服務器的權限了。

https://chapangzhan.com/

https://ipchaxun.com/

公眾號、服務號收集

1. 搜狗搜索引擎
2. 企查查

微信小程序

從微信小程序入手，進行測試

APP

1. 小藍本
2. 企查查
3. 愛企查
4. 點點

https://app.diandian.com

1. 七麥

https://www.qimai.cn/

七麥還可以切換蘋果和安卓，獲取下載鏈接apk丟進模擬器

指紋識別

1. Ehole

https://github.com/EdgeSecurityTeam/EHole

使用方法：

./Ehole-darwin -l url.txt //URL地址需帶上協議,每行一個

./Ehole-darwin -f 192.168.1.1/24 //支持單IP或IP段,fofa識別需要配置fofa密鑰和郵箱

./Ehole-darwin -l url.txt -json export.json //結果輸出至export.json文件

1. Glass

https://github.com/s7ckTeam/Glass

使用方法：

python3 Glass.py -u http://www.examples.com// 單url測試

python3 Glass.py -w domain.txt -o 1.txt // url文件內

1. BugScanner

http://whatweb.bugscaner.com

主站沒識別出來，但是其他子站可以丟進來看看

1. 潮汐指紋

http://finger.tidesec.com

1. Kscan

此工具需要go環境

https://github.com/lcvvvv/kscan

1. 云悉

http://www.yunsee.cn/info.html

云悉可以在線搜索子域名、IP段、CMS指紋等信息

1. http://whatweb.bugscaner.com/batch.html
2. 大禹CMS識別程序 https://github.com/Ms0x0/Dayu
3. 對于查詢到的CMS可以利用 https://bugs.shuimugan.com網站用于查詢
4. 其他finger 或者棱鏡也可以

https://github.com/EASY233/Finger

https://github.com/EdgeSecurityTeam/EHole

1. 繞過CDN
2. 如果目標沒有使用CDN，可以通過ping獲取IP地址。或者利用在線網站 http://www.ip138.com
3. 使用了CDN就繞過CDN來獲取真實的IP地址：
4. 因為有些網站設置CDN時，可能沒把國外的訪問包含進去，所以可以嘗試國外繞過
5. 驗證ip地址
6. 因為通過各種方法得到的ip地址很多，有的是偽ip，無法訪問，這就需要逐個驗證，方法簡單但是i西南西量比較大，利用ip地址對web站點進行訪問
7. 查詢域名解析記錄 https://viewdns.info/
8. 內部郵箱源，收集到內部郵箱服務器IP地址
9. 網站phpinfo文件phpinfo.php
10. 分站IP地址，查詢子域名，CDN很貴，很可能分站就不再使用CDN
11. 國外訪問 https://asm.ca.com/en/ping.php

敏感信息收集

1. github

github敏感信息泄露一直是企業信息泄露和知識產權泄露的重災區，安全意識薄弱的同事經常會將公司的代碼、各種服務的賬號等極度敏感的信息【開源】到github中

這里可以利用github找存在xxx.cn這個關鍵字的代碼，這樣可以收集到的方面更廣

GSIL項目：

https://github.com/FeeiCN/GSIL

通過配置關鍵詞，實時監控GitHub敏感信息泄露情況，并發送至指定郵箱

1. 常見自身泄露
2. robots.txt
3. crossdomain.xml(跨域策略文件cdx)
4. 從流量中分析提取
5. 流量代理：通過WebProxy代理電腦所有流量，再分析流量中出現的子域名
6. 域名跳轉記錄中的子域名
7. Response中存在的子域名
8. 網絡請求資源中的子域名
9. DNS解析
10. SSL證書查詢
11. 暴力枚舉
12. 網盤搜索
13. 盤多多：http://www.panduoduo.net/
14. 盤搜搜：http://www.pansoso.com/
15. 盤搜：http://www.pansou.com/
16. 凌云風搜索：https://www.lingfengyun.com/
17. 直接輸入廠商名字然后搜索，看看是否泄露了源碼，或者賬號密碼之類的
18. 路徑掃描
19. 404，403頁面，不是真的沒有東西，要一層一層fuzz，一層一層的掃下去
20. 工具：
21. https://github.com/maurosoria/dirsearch
22. 具體使用方法可以查看github介紹，這里我一般是使用如下命令（因為擔心線程太高所以通過-t參數設置為2）。
23. python3 dirsearch.py -u www.xxx.com-e * -t 2
24. 關鍵的地方是大家都可以下載這款工具，獲取它自帶的字典，那么路徑的話，便是大家都能夠搜得到的了，所以這里我推薦是可以適當整合一些師傅們發出來的路徑字典到/dirsearch-0.4.2/db/dicc.txt中。
25. 推薦一些字典：
26. GitHub - ybdt/dict-hub: 紅隊字典：弱用戶名、弱口令、默認口令、泄露密鑰
27. dict-hub/2-弱口令 at master · ybdt/dict-hub · GitHub
28. https://wordlists.assetnote.io/
29. 每個工具掃出來同一個站點都會爆出不同的路徑，建議把三個工具都拿來掃一遍，另外找一些像后臺、登錄系統之類的，可以用Google hacking
30. site:xxx.com admin
31. site:xxx.com login
32. site:xxx.com system
33. site:xxx.com 管理
34. site:xxx.com 登錄
35. site:xxx.com 內部
36. site:xxx.com 系統
37. 御劍
38. 7kbscan
39. dirsearch
40. 基于證書

https://myssl.com

https://crt.sh/

1. 基于shodan找到帶有該icon的網站

在shodan搜索中有一個關于網站icon圖標的搜索語法，http.favicon.hash，我們可以使用這個語法搜索出使用了同一icon圖標的網站。

由于hash為一個未知的隨機數，

所以是無法通過輸入一個確定的hash值來搜索帶有指定圖標的網站的，

只能通過查看一個已經被shodan收錄的網站的hash值，來進一步獲取到所有帶有某icon的網站。

那么這里的用法就非常具有局限性，你只能是碰運氣來找到你所需要查找的網站，因為shodan不一定收錄了你想要搜索的網站。

那么如果shodan收錄了某個IP，這個服務器帶有某個icon圖標，也可以搜索所有帶有此icon的服務器IP

如果我像搜索帶有這個icon的所有IP地址的話，可以先在shodan搜索這個IP。

注意：shodan中有一個功能，shodan的原始數據（Raw Data）功能。

點擊詳情里的View Raw Data，打開可以看到shodan所存儲的關于這個IP的所有信息的原始數據。

關于icon hash的字段是：data.0.http.favicon.hash

這個數值就是http.favicon.hash：中所需要的搜索值。

根據上述得到的hash值，成功得到了所有待用這個icon的網站。

1. 域傳送漏洞
2. DNS區域傳送（DNZ zone transfer）指的是一臺備用服務器使用來自主服務器的數據刷新自己的域（zone）數據庫。這位運行中的DNS服務提供了一定的冗余度，其目的是為了防止主的域名服務器因意外故障變得不可用時影響到整個域名的解析。一般來說，DNS區域傳送操作只在網絡里真的有備用域名DNS服務器時才有必要用到，但許多DNS服務器卻被錯誤的配置成只要有client發出請求，就會向對方提供一個zone數據庫的詳細信息，所以說允許不受信任的因特網用戶執行DNS區域傳送（zone transfer）操作是最為嚴重的錯誤配置之一。
3. 可以用dig工具來檢測域傳送漏洞：
4. 命令如下：
5. [ dig axfr @dns.example.com example.com ]
6. [ dig axfr @172.16.132.1 www.vulhub.org]
7. 通過域名傳送漏洞可以得到子域名信息以及子域名對應的IP地址。

常見漏洞

1. 弱口令，管理員權限的弱口令，可以是一些后臺管理系統的，也可以是防火墻的。
2. 越權，這個相對來說比較常見，系統設計存在缺陷，通過參數來傳遞身份和訪問請求頁面的信息，只需要修改參數即可越權到別人的身份，可能有垂直越權，也可能是水平越權。
3. SQL注入，只要細心一點，SQL注入也是比較常見的，只要能注出數據庫就行了，注意別惹禍上身。
4. 文件上傳，這類的話，有一些老系統沒什么限制，可以嘗試。
5. struts2框架漏洞，這個框架出了很多漏洞，前段時間比較火。
6. shiro命令執行，也是框架漏洞，一個反序列化漏洞，現在網上還存在很多存在這個洞的站點。
7. 任意文件下載，在一些站點的下載點，可以抓包測試，通過修改下載鏈接中下載文件的路徑，像/etc/passwd,WEB-INF/web.xml等文件。

任意文件下載常用路徑：

LINUX:

  /root/.ssh/authorized_keys
  
/root/.ssh/id_rsa
  
/root/.ssh/id_ras.keystore
  
/root/.ssh/known_hosts
  
/etc/passwd
  
/etc/shadow
  
/etc/issue
  
/etc/fstab
  
/etc/host.conf
  
/etc/motd
  
/etc/sysctl.conf
  
/etc/inputrc 輸入設備配置文件
  
/etc/default/useradd 添加用戶的默認信息的文件
  
/etc/login.defs 是用戶密碼信息的默認屬性
  
/etc/skel 用戶信息的骨架
  
/sbin/nologin 不能登陸的用戶
  
/var/log/message 系統的日志文件
  
/etc/httpd/conf/httpd.conf 配置http服務的配置文件
  
/etc/ld.so.conf
  
/etc/my.cnf
  
/etc/httpd/conf/httpd.conf
  
/root/.bash_history
  
/root/.mysql_history
  
/proc/mounts
  
/porc/config.gz
  
/var/lib/mlocate/mlocate.db
  
/porc/self/cmdline
 

WINDOWS:

  C:\windows\system32\drivers\etc\hosts host文件
  
C:*\apache-tomcat-7.0.1/conf/context.xml、web.xml、server.xml、tomcat-users.xml
  
C:\boot.ini //查看系統版本
  
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
  
C:\Windows\repair\sam //系統初次安裝的密碼
  
C:\Program Files\mysql\my.ini //Mysql配置
  
C:\Program Files\mysql\data\mysql\user.MYD //Mysqlroot
  
C:\Windows\php.ini //php配置信息
  
C:\Windows\my.ini //Mysql配置信息
  
C:\Windows\win.ini //Windows系統的一個基本系統配置文件
 

1. 邏輯漏洞，一些已經被很多人挖過的站點除了一些最新的漏洞之外，可能就只剩下邏輯漏洞了，比如任意密碼修改，或者一些組件漏洞，還有在修改密碼的地方，修改密碼請求是一次發包還是分兩次發包，密碼找回點，有些情況下驗證碼就在返回包中包含著；有些情況下接受驗證碼的手機號或者郵箱就在請求包中，可修改為自己的，驗證碼就會發送到你修改的手機號或者郵箱處，挖邏輯漏洞的話，更多情況下要抓包查看，了解它的邏輯，從中找到缺陷。
2. 具體可以看：
3. https://www.freebuf.com/vuls/281141.html該文章專門對邏輯漏洞進行了總結。