浅谈漏洞挖掘

admin
admin
admin
102737
文章
87
评论
2022年2月26日02:41:51评论355 views字数 2515阅读8分23秒阅读模式

浅谈漏洞挖掘

破军安全实验室


    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约2500字,阅读约需7分钟。


浅谈漏洞挖掘

0x00前言

浅谈漏洞挖掘


一个菜鸡的挖洞之路,这里只谈如何发现漏洞,如何快速的发现漏洞。


浅谈漏洞挖掘

0x01 信息收集

浅谈漏洞挖掘


  • 子域名收集

首先来看一下常规流程,信息收集还是很重要的,在获取目标域名或者单位名首先会针对子域名去做信息收集,常用工具如下所示:

Oneforall:这款工具相对于其它子域名收集工具效果还是客观的

https://github.com/shmilylty/OneForAll


浅谈漏洞挖掘


subDomainsBrute

https://github.com/lijiejie/subDomainsBrute

浅谈漏洞挖掘


Subfinder:一个汇集了 7 种 API 的子域发现工具,可通过使用被动的在线资源来发现网站的有效子域。它具有简单的模块化架构,并针对速度进行了优化。subfinder 仅用于做一件事,那就是被动子域枚举。

https://github.com/projectdiscovery/subfinder

浅谈漏洞挖掘


  • 端口扫描

常见的端口扫描工具如下所示:

Nmap:可以使用图形化,方便一点

https://nmap.org/


浅谈漏洞挖掘


分享一款自己常用端口扫描工具,支持结果导出,速度比较快适合常规渗透测试使用


Gorailgun

https://github.com/lz520520/railgun


浅谈漏洞挖掘


  • 目录扫描

在常规渗透测试中目录扫描比较看运气,但是也是必不可少的一部分。

dirsearch

https://github.com/maurosoria/dirsearch


浅谈漏洞挖掘

 

  • 空间测绘

以上的工具算是信息收集中常做的三件事情,但是针对SRC漏洞挖掘来说还是要体现快,这里推荐目前常用的空间测绘工具。

FOFA

https://fofa.info/

支持很多语法结果组合查询(domain、title、ip、header、body),能够更快的获取目标站点的信息


浅谈漏洞挖掘

 

Hunter:这款工具是奇安信全球鹰实验室研发的一款空间测绘工具,每天有免费次数,有钱的大哥可以奢侈一把。

https://hunter.qianxin.com/


浅谈漏洞挖掘


  • 综合信息收集工具

信息收集可以逐渐自动化,对挖洞的帮助也是很大的,可以自己搭建一些开源的信息收集工具如大宝剑、灯塔等等。

灯塔:

https://github.com/TophantTechnology/ARL


浅谈漏洞挖掘


浅谈漏洞挖掘


浅谈漏洞挖掘

0x02 漏洞探测

浅谈漏洞挖掘


  • Goby

漏洞探测大部分均为手工的形式如(弱口令、越权、逻辑漏洞)但是也可以使用工具如(kali、goby、xray)

Goby:goby可以用于漏洞探测,但是大部分会用于资产收集,在众测这种快速少量的渗透测试中可以用到。

https://gobies.org


浅谈漏洞挖掘


浅谈漏洞挖掘


  • Xray

Xray:Xray结合burp使用采用被动扫描方式在常规的渗透中是非常实用的,也可以用于手工的SRC(公益SRC)漏洞挖掘。

https://github.com/chaitin/xray


浅谈漏洞挖掘


  • Kali

Kali:Kali也是将很多安全渗透测试工具集于一身,包括信息收集、漏洞探测、漏洞验证等等,如Rsync、Redis未授权等等,可以自行到官网安装学习。

https://www.kali.org/docs/


浅谈漏洞挖掘


浅谈漏洞挖掘

0x03 实战

浅谈漏洞挖掘

  • 案例一

目前主流的SRC平台也是比较多的,如(补天、漏洞盒子、阿里SRC、雷神众测、漏洞银行、360SRC、银联SRC等等),目前主流且赏金较多的漏洞大致为业务逻辑漏洞、SQL注入、弱口令、命令执行等,所以漏洞挖掘主要从这几方面入手。

上午首先是对目标进行信息收集,这里为了方便直接使用灯塔资产收集工具,直接使用虚拟机搭建。

针对某集团进行信息收集,这里由于没有保存任务,兄弟们可以自行搭建测试,还是比较实用的。

一般登录口能做哪些操作?推荐(弱口令、注入、前端绕过、任意注册、任意账号登录)


浅谈漏洞挖掘


第一个洞直接通过弱口令登录,无论公益还是专属都是根据获取的数据量来定奖励。


浅谈漏洞挖掘


  • 案例二

第二个洞也是存在登录口,这里主要体现在SQL注入以及命令执行

信息收集还是来源于灯塔


浅谈漏洞挖掘


这里测试弱口令未成功,无意间发现使用admin’登录出现系统报错信息。

通过Repose返回包发现为ASP.NET的站,猜测网站使用的是SQLserver数据库。采用手工延时的方法测试结果发现存在延时注入,由于图片没有保存,这里就直接贴一下延时注入语句admin’ waitfor delay '0:0:3' --

直接看下sqlmap测试截图


浅谈漏洞挖掘

 

这里为了能够在SRC多获取一些奖励,可以进一步测试通过SQL注入测试命令执行,首先要测试当前用户权限是否为DBA。


浅谈漏洞挖掘


为DBA权限,直接使用--os-shell看能否直接测试出物理路径,结果成功,成功执行系统命令,这个漏洞算是比较幸运的了,往往登录口存在注入的站点不是很多。


浅谈漏洞挖掘


  • 案例三

这里主要还是注入,不过这个站点用的不是管理员权限所以不能执行系统命令,漏洞存在点依然为登录口。


浅谈漏洞挖掘


同样采用延时注入的方式,对用户名的参数进行注入测试。


浅谈漏洞挖掘


直接使用sqlmap测试。


浅谈漏洞挖掘


  • 案例四

这个漏洞,虽然为弱口令,但是系统属实没有见过,有认识的大佬可以打在公屏上。

Web页面名称为Wellspring


浅谈漏洞挖掘

 

Burp爆破


浅谈漏洞挖掘

 

  • 案例五

一个比较坑的洞,spring boot未授权访问,这个洞泄露的信息量其实蛮大的,但是时间原因没有深入利用,直接提交后审核未通过


浅谈漏洞挖掘


浅谈漏洞挖掘


浅谈漏洞挖掘

0x04 总结

浅谈漏洞挖掘


后面想着丰富一些漏洞类型吧,在合法合规的前提下对漏洞进行深入研究,漏洞挖掘也可以尽量向半自动化靠拢,完全手工或单个工具使用,效果不佳,大佬们如果有好的组合方式可以留言一手。

 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,破军安全实验室及文章作者不为此承担任何责任。

    破军安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


浅谈漏洞挖掘

破军安全实验室

# 长按二维码 关注我们 #



原文始发于微信公众号(破军安全实验室):浅谈漏洞挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月26日02:41:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈漏洞挖掘http://cn-sec.com/archives/804160.html

发表评论

匿名网友 填写信息