教育SRC的挖掘思路和一些小方法

  • A+
所属分类:安全闲碎

点击蓝字

教育SRC的挖掘思路和一些小方法

关注我们



声明

本文作者:北美第一突破手

本文字数:1700

阅读时长:17分钟

附件/链接:点击查看原文下载

声明:请勿用作违法用途,否则后果自负

本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载


教育SRC的挖掘思路和一些小方法




前言


开局一张图

教育SRC的挖掘思路和一些小方法

这两天因为想去提升一下教育SRC的排名便去想着挖一下学校的漏洞,大大小小挖了10个左右,有了30rank,于是想把自己这两天的一些心得写出来

一、

目标的选择

Google语法现在用的人我见得不多,大家最多的就是fofa、shadan、等一些信息收集平台,但是你想普通会员肯定都已经把前5页都翻个透了,没有超级会员也难找到合适的,存在漏洞的目标。所以使用谷歌语法是一个非常好的方式,免费,而且还收集的更加完全,因为fofa收集的资产并不是实时更新的。常见的收集教育的语法有这些:

intext:教务系统管理平台

教育SRC的挖掘思路和一些小方法

intext:职业技术学院

教育SRC的挖掘思路和一些小方法

选择职业院校是因为他们的防护工作大部分都做得不好,容易出现漏洞,而且安全意识比较差,除了这些方方式查找,你也可以使用多个限制来进行操作:

intext:职业技术学院 inurl:login

教育SRC的挖掘思路和一些小方法

可以找到很多的登录页面。除了登录页面是敏感页面,大部分的登录都很大几率的是和他们自己的IP段有关的,很多学校的官网主页的IP并不是他们自己的服务器,而是托管到其他地方,这样是为了起到保护的作用,我们拿到他们的主站的IP,大部分都是没发继续找到更多的敏感信息的,所以使用这个语法会大概率的找到他们学校自己的IP。


二、

C段的收集(重要)

C段整个收集环节中最重要的一环(个人感觉),也是最容易出洞的地方,首先简单的介绍一下C段的含义:比如我们找到一个IP是192.168.1.1的网站,那么他的C段IP就是192.168.1.1到192.168.1.254这范围内,这些IP统称为C段IP。为什么找这个C段呢?因为企业和学校还有政府的网站都很喜欢在一个C段里面,收集C段会得到很多意想不到的惊喜。这里我介绍一个插件:shoadn

教育SRC的挖掘思路和一些小方法

这个插件在火狐和谷歌上面都可以找到,他的作用是当你打开一个网站以后,可以给你一个简单的信息,比如IP和开放端口哦,但是不能够全信,因为也不是实时更新的,有了它你可以快速的判断这个IP的一些情况,上面的这个截图的IP可以看出是一个套了CF的IP,所以我们就不收集这个IP的C段,因为收集了也没用。

三、

怎么收集C段IP

我的收集方式是使用shodan +fofa,首先通过语法找到一个合适的站点,然后利用shodan判断出IP,再使用fofa进行C段的查看,fofa的语法为:ip="192.168.1.0/24"这样可以将fofa扫描过的C段列出来,当然不特准确,原因和上面一样,但是在快速挖掘SRC的时候,就需要走马观花的来做,因为你不要需要非得要挖到这个学校的漏洞,可以换下一个继续挖掘,如果你确实想要死磕,那么可以使用更加准确的反方式进行扫描,可以参考我的信息收集详解

四、

实战的使用

这里我拿昨天的一个SQL注入来进行讲解,很遗憾的是这个学校的老师在审核的期间把网站关闭了,导致这个漏洞没有通过

首先是我利用了谷歌语法找到了他们的学生信息管理系统:

得到ip为210.32.82.45,看了一眼是正常的IP,于是上了fofa查看C段:

教育SRC的挖掘思路和一些小方法

发现了存在很多登录系统,其中有个网站的Title是找回密码:

教育SRC的挖掘思路和一些小方法

本着想去挖一个逻辑漏洞的想法打开了这个网站,但是这个网站是一个非常简陋的页面,猜测可能是自己写的,于是我直接随便输了一个学号,然后加上单引号,抓包,重放以后发现存在SQL注入,直接SQLMAP一把梭:

教育SRC的挖掘思路和一些小方法

非常的简单,直接高危到手,但是管理员关网站的速度还是非常及时的,害

大部分的学校都是这样的IP分布,找C段是非常有必要的

五、

其他技巧

  • 弱口令

上面两种方式基本能够收集到很多有价值的目标了,后续的一些测试主要内容是围绕弱口令,然后后台登录,上传,getshell了,弱口令是非常重要的一个环节,字典什么的一定要新一点的好,不然可能跑不出来,还是这两天的一个漏洞,直接后台弱口令,绕过前段验证直接getshell:
教育SRC的挖掘思路和一些小方法

  • 抓包和返回包修改

这种方式可以绕过一些登录的验证和密码找回,当我们登录以后,一些事返回一个json值,我们可以按照开发的逻辑修改返回包,就能做到登录,比如下面这个例子:
我们登录一户,服务器返回一个login:flash,这样的返回包,我们吧flash改为true,就能够绕过登录

  • 已知漏洞的挖掘

这个是老生常谈的事情了,在挖掘的时候可以根据一些特殊的信息确定CMS和框架,比如TP5的框架


后记




信息收集非常重要,真的很重要,需要大家好好的学一学

阅读原文可与师傅们一起讨论

https://c.wgpsec.org/p/10006



团队的师傅【北美第一突破手】微信我悄悄放在这里了


教育SRC的挖掘思路和一些小方法



扫描关注公众号回复加群

和师傅们一起讨论研究~



WgpSec狼组安全团队

微信号:wgpsec

Twitter:@wgpsec


教育SRC的挖掘思路和一些小方法
教育SRC的挖掘思路和一些小方法


本文始发于微信公众号(WgpSec狼组安全团队):教育SRC的挖掘思路和一些小方法

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: