2023年4月14日16:21:52评论50 views字数 2214阅读7分22秒阅读模式

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！本文由KillerQueen投稿至李白你好，原创文章投稿有红包奖励，欢迎大佬们前来投稿！

0x01 工具篇

工欲善其事必先利其器，先介绍一下挖洞使用的工具

工具：信息收集：arl灯塔，fofa,漏洞扫描：xray，目录扫描：drisearch，7kbscan，js文件扫描：jsfinder，各种nday检测工具，代理工具：burpsuite

火狐插件：由于查找是否有js敏感信息的findsometing,代理流量的foxproxy

工具怎么用，就不详细介绍了百度多的是

0x02 信息收集

两种打点的信息收集思路

1、fofa+arl联动，用arl先对fofa上的资产梳理一遍，做一些轻量的漏扫和目录爆破，此次过滤可能会出一些敏感信息如/v2/api-docs，/swagger-ui.html，druid，Jenkins未授权访问，和一些服务弱口令问题，都是捡rank好方法。

2、oneforall跑出子域名+httpx进行大规模信息收集，打点，这种方法就是范围广，没有那么细致，但是能收集到一些banner，中间件，服务端语言，框架等信息，具体语法可以自行百度。

以上两种方法都不能百分百收集完整，还需要其他方法配合进行信息收集，网上很多信息收集的文章，可以多去学习学习。

关于弱口令

个人不太喜欢一上来就拿大字典爆破弱口令，除非实在没办法，一般手测几个弱口令：admin admin admin12345 password 123456 admin888 admin666 大概这几种。遇到cms或者设备可以网上搜索用户使用手册，尝试手册上的初始密码登录，其中设备的rank是比较高的，弱口令的rank在2-6左右，弱口令没什么方法，纯靠运气。

案例：

某次在arl里发现的一个安全设备，通过查找用户手册找到了弱口令admin password$123登录成功，拿下某证书站大学

小白菜入门教育src挖掘的个人经验总结

0x03 思路一弱口令扩大危害

通过弱口令进入后台扩大危害，看看能否文件上传getshell或者扫描到api接口，进行未授权访问测试越权测试，进一步信息收集查看存在漏洞的组件版本信息进行进一步的利用打nday。

案例一

首先在arl里，通过挂了个xray的被动扫描，在一个学校的登录框测试到了弱口令进入了后台，通过翻找文件上传处，无法上传shell后，通过对系统设置处的仔细信息收集，发现该系统搭建在版本号为5.0.4的thinkphp上面，（这个框架一开始是没有收集到的）。网上搜索得知该版本存在一个RCE，再用tp扫描工具扫描出结果后，我再进行百度，手工复现后发现可以利用，但是系统禁用了很多函数，getshell有一定难度，只验证了phpinfo()。

小白菜入门教育src挖掘的个人经验总结