SRC漏洞挖掘之边界渗透中的小技巧

案例分享一

四月份的时候Github有一个项目名为：openXXXX

我在其中发现了多个内部域名，最后通过 这些内部域名，结合接下来要讲的方法， 成功发现了多个漏洞。

渗透流程

明确目的

资产收集

寻找脆弱点

组合利用

达到目的

资产收集

1.目标主业务二级域名、三级域名等

通过FOFA语法收集

通过子域名爆破、反查收集

通过JS接口收集

通过Github信息泄露

2.业务强关联子公司资产收集

多级域名资产

Github信息泄露

员工信息、管理后台

3.目标IP资产、内网域名收集

线上测试环境

Github信息泄露

历史漏洞信息

JS代码

但大部分都是….

如何渗透401、403、404、500

那么…我们应该怎么对这些这些页面开展渗透工作呢

其实很多时候这些IP、域名 往往都是一些脆弱的、高价值的又容 易被突破的站点，但大部分人看到这 些响应码后的操作最多也就扫扫端口、 扫扫目录有发现就继续搞搞，没发现就丢掉，从而错失了打入内网的大好机会。

Hosts碰撞

很多时候访问目标资产响应多为：401、403、404、500，但是用域名请求 却能返回正常的业务系统，因为这大多数 都是需要绑定host才能正常请求访问的 （目前互联网公司基本的做法），那么我 们就可以通过收集到的目标的内网域名和 目标资产的IP段组合起来，以IP段+域名的 形式进行捆绑碰撞，就能发现很多有意思 的东西。

这一操作可以通过脚本自动化来访问：

https://github.com/baimaohui-net/Hosts_scan

脚本原理

在发送http请求的时候，对域名和IP列表进行配对，然后遍历发送请求 （就相当于修改了本地的hosts文件一样），并把相应的title和响应包大小拿回 来做对比，即可快速发现一些隐蔽的资产。

碰撞案例

漏洞原理

需要用到的知识点：懂点网站搭建，大概了解DNS解析过程

如果管理员在配置apache或nginx的时候 禁止了IP访问，那么我们直接访问IP将会回显403页面。

（直接IP访问）

这时候访问网站则需要使用Apache的 httpd.conf配置中的ServerName里指定的值才能够正常访问。

(使用域名访问）

(apache_httpd.conf配置）

如果管理员在配置的时候ServerName域名写的是内网域名怎么办？（公网DNS服务器无法解析内部自定义域名）

大概了解一下DNS解析过程

1.在浏览器内部中查看是否有缓存

2.在本机hosts文件中查看是否有映射关系

3.本地DNS缓存（ipconfig /displaydns ）

4.本地DNS服务器

5.跟域服务器

通俗点讲

当用户在浏览器中输入一个需要访问的网 址时，浏览器会查看自身是否有缓存，没 有系统则会检查自己的Hosts文件中是否 有这个域名和IP的映射关系。如果有，则 直接访问这个IP地址指定的网络位置，如 果没有,再向的DNS服务器提出域名解析请 求。也就是说Hosts的IP解析优先级比 DNS要高。

那么我们只需要知道目标的IP和域名即可通过修改本机Hosts访问到目标系统。 

(本机Hosts添加映射关系）

(IP域名正确匹配 访问成功√）

(绑定的域名不正确 访问失败）

案例分享

某目标系统后台登陆账号为11位手机号码，端口情况只开了80，443，看到账号是11位手机 号码，我直接放弃了识别验证码爆破的想法，因为动作太大，可能性太小。

通过JS寻找可用信息

每当渗透进入死胡同的时候， 不要放过任何可能有用的信息，可尝试 通过查看js源码寻找可用信息。

使用低权限账号登陆后，还可以通过js寻找接口信息，大部分接口很可能存在越权。

部分VUE站点，还可以通过F12查看webpack打包前的前端代码，可从注释中获取敏感信息。

总结

渗透中需要养成不放过查看任何文件的习惯，有时候右键查看JS源码、习惯性查看F12，你 可能会发现... 被注释的账号密码、接口、token、真实IP、开发环境地址等....

永远不知道程序员会在JS中给你留下了什么样的惊喜。

比如：

玫瑰金手铐一对

+

精美囚服一套

+

保镖全方位保护体验

一切渗透工作均需在得到授权的情况下开展

原作者：R3start，由乌云安全整理PPT而来，侵权立删

本文始发于微信公众号（渗透云笔记）：SRC漏洞挖掘之边界渗透中的小技巧