以下为群里Ditral师傅的一个分享,热心的师傅说想让大家也看看他的收集思路
最近有很多师傅在问,为什么edu总是挖不倒,为什么别人就能挖到那么多的洞,而我翻遍了我的所有资产也没有洞,证书站被挖穿的情况下怎么深入收集资产寻找目标,在这与各位师傅分享一下我的经验。
Edusrc的资产收集我大致为两大类,第一类是教育网下的资产,第二类是非教育网类资产(包括归属存疑的企业,IP非教育网段但有明显学校特征的,属于学校的资产)PS:此收集不包括内网收集,edu毕竟没有授权,有的学校惹不起确实会出警,大家最好别去内网,内网大多数东西比较敏感谨慎触碰。
那么与各位师傅分享一下我的收集步骤:
1. 首先是目标学校的确定,确定一个学校作为你的目标
我们首先进入学校的官网,找到他的域名和IP
这里推荐站长工具直接查,省的下一步还得打开站长工具
记下我们这个网站的IP地址,然后进入 IP WHOIS查询界面
看到下面的inetnum:后面的网段以及下面的University(大学)就说明这个网段便是这个大学的教育网段IP了
到这里学校官网(教育网的主要)IP段和顶级域名咱们就搞清楚了, 2.然后进行二级域名的爆破
二级域名爆破的工具有很多,相信师傅们手中也有更好用的工具,我自己更常用的就是layer,感觉主要比较方便,并且字典也比较多,二级域名大概有1W6K左右个,还有下面这种在线二级域名爆破,百度上面一搜一大片,也很不错,缺点就是字典有点少,不过相对来说还是够用,当然肯定是字典越多爆破效果越好。
下图是已经爆破成功后导出的IP以及二级域名列表示例 layer也都将域名所处的IP导出了出来,方便我们继续进行IP网段的收集
二级域名的IP域名就包括了很多,可能处在教育网段的IP上,可能处在非教育网段的IP上,甚至可能处在云主机的IP上,这个时候就需要我们自己去判断收集,然后将我们没见过的IP都放到站长工具上查询,如果确定是教育网段的IP了就进一步去查它的whois看看它所处的网段,如果IP没有显示教育网但是显示了他是处在什么地区的,并且带有明显学校特征的也可以算作去,但是注意此时建议不要对这种IP收集C段了,很容易打偏,这个时候就对这个IP的网站测试一下即可,如果过度深入很有可能会造成不必要的麻烦,但如果你可以确定依然是学校的服务器,C段的旁站也是学校服务器也可以继续深入,请自己判断情况并且把握这个尺度。
按照我个人的经验来说越大的学校资产越多越容易找出漏洞,所以大家不要因为某交通大学漏洞挖的人非常多就认为难挖挖不到,只要信息收集足够深入找到别人找不到的地方,你自然成功率就比他们高。
做到这里你就已经掌握了很多的二级域名以及IP网段信息了,但此时你手里的信息依然算不上深入,只能算得上全面,尤其是最近有一个专门的edu学校IP收集和历史漏洞查询系统出现,这个系统包含了几乎所有edu学校主要教育网段的IP,你手里用工具爆破的,那么别人也肯定能爆破,你能whios找到的别人也能找到,这个时候就需要自己去手动收集更多的二级域名了,字典并不是全部,学校也有很多奇奇怪怪的二级域名难以爆破。
这是师傅们最熟悉的fofa语法,相信大家肯定都比较熟练了,fofa下面也提供了IP地址,继续收集我们没见过的IP地址以及域名加入到我们的资产里
然后就是我们熟悉的谷歌语法和百度语法,这些都属于最常用的语法,举几个例子 inurl:xxxx.edu.cn 这样收集到的便是带有xxxx.edu.cn的网站信息,如果我们更进一步?友情链接/常用链接 inrul:xxxx.edu.cn 可能找到了一些更加隐秘的跳转网站,配合intext site等语法找出更多的URL,这里在我看来最重要的就是友情链接常用链接,作为一个在读学生,很多时候学校的考试系统,登陆系统等都是发布的公告、新闻或者跳转进入的,很多时候有的学校自己开的临时站点根本没有绑定域名直接用IP的方式进行访问,这种的IP大概率可能不是教育网段的IP,可能是学校自己服务器搭建的网站,这个要重点注意,比如配合语法:报道入口、登录入口、在线考试入口等语法综合运用你可能会得到更进一步的惊喜
之后就可以进行扫描了,C段的扫描,我个人经验是先看fofa,比如他买了很多的网段,但不一定每个网段的IP上都绑定了网站,如果fofa上面你能通过这个IP的C段找到一些网站,那么它就有扫描的价值,如果你看这个网段里某个IP的C段一个网站fofa上也没有,我自认为你去扫描他的意义也不大,毕竟fofa自身已经足够强大,或者可以先看fofa同时扫描C段,看完fofa了差不多C段扫了一部分了。
收集的过程要尽量深入,根据我收集edu的经验,教育网IP段的系统,大多数都装有WAF,如果想SQL十分麻烦,大部分时候根本不清楚是什么种类WAF拦截,如果这个时候你去搞明白WAF是什么,就算你能绕过,首先他可能已经被厉害的师傅绕过去了并且提交修复了,再加上你也浪费了大量的时间,还不一定保证能自己绕过,当然并不是说教育网段的网站就不要SQL了,还是要按照情况来,该试的还是要试,相对来说大部分学校临时开通的入口系统,如果是学校自己服务器很多时候管理员比较疏忽,没有启动WAF,这种时候我们就可以进行SQL测试,想SQL的话对于登录框搜索框的SQL一个都不要放过,我们如果要交edu的话只需要能证明存在SQL即可,sqlmap肯定是最有力的证明,但如果你只打一个延时比如waitfor dealy 也是可以通过审核的,有的时候WAF过滤的也比较少,你如果查版本很有可能被ban,但是打一个延迟有可能就不会被拦截,这就是深入收集资产的重要,很有可能遇到这种情况你就拿到了sql,遇到破旧的站很多年不用的站一定要注意,虽然有可能这种站没有什么利用空间了,但是它的友情链接、考试入口可能会将你跳转到管理员遗忘的角落。
2. 非教育网段IP、web如何处理?
非教育网IP大致可以分为企业归属或者一些学校的附属医院,正常来讲如果是学校的企业的话是收的,审核会说归属存疑通过便于学校确认,如果是附属医院的话,基本可以确认是学校的资产,当然还有一种情况,EDU的群里也出现过这个问题,就是你发现比如某大学的校友会,校友会是个特殊的存在,他可能是个人创建也可能是学校创建,这个时候只要翻下去看他的备案基本就能确定是不是学校的资产了。
企业的资产查询师傅们肯定都知道企业查之类的查询方法,但是他们绝大多数是收费的,免费的我推荐这个叫做小蓝本的查询系统,个人感觉也还不错,能查到下面的附属医院和投资情况,能看到一些学校下面投资的主要公司,这里还是不建议对学校投资的公司进行深入测试,第一它毕竟不属于edu投入过多时间可能导致平台不收,第二毕竟企业来讲相对学校较独立,没有授权的情况下很有可能造成一些不必要的麻烦
3. 最后就是学号邮箱等收集了,基本都是配合百度或者谷歌语法,这个挖edu的师傅都能知道,google来讲配合filetype:zip/7z/xls 等这种语法会搜集的更多一些,邮箱最好也收集一些,老师的工号,有的时候猜测老师的弱口令或者通过默认密码都会有很大的帮助,
这就是我收集edu高校资产的经验,新挖edu的师傅可能很多人都会漏掉一些,当然我的可能对于厉害的师傅来讲也只是皮毛,但是对于我自己来说通过这个方法以及挖到了很多证书站,我感觉我这种收集思路来讲,拿到分应该还是不成问题的,欢迎厉害的师傅分享你的收集方法,给我的补全,当然也希望新挖的师傅能够找到自己信息收集比起我这个缺少了什么收集时多注意,希望每个师傅都能早日拿到edu证书“全家桶”,感谢各位师傅!
往期精彩:
点个在看你最好看
际测试aiohttp确实没
本文始发于微信公众号(Qingy之安全):【思路分享】edu证书站挖掘之信息收集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论