SRC漏洞挖掘中几种域名收集方式

信息收集是老生常谈的东西了，在一个src的漏洞挖掘过程中找到薄弱资产是一件很爽的事情，出现漏洞的地方它可能一直会出现各种漏洞，相关资产也可能会出现这个漏洞，所以本文介绍几个资产收集方式

0x01：通过在线文档的方式收集

我在漏洞挖掘的过程中会翻一些文档类的内容，也会刻意收集一下文档内容，还可以是一些官方的系统使用文档。

例如一些云盘类的内容含有某系统使用指南

这个云盘存在的我们可以GoogleHacking，GitHub，甚至在部分网站的js内都会存在

亦或是各企业存在内部的一些展示文档的网站，拿东哥举例子

例如我某次碰到的一个帮助文档查看的地方可以遍历

姑且做一个简单的描述：xxx.com/helpCenter/knowId=1

以上的所有描述都是为了突出一个重点，系统本身可能并不存在漏洞，但是这些文档内描述的相关系统是很可能出现漏洞，而按照正常的收集方式去收集这些系统域名是可以收集到的，但对于一些大的src来说域名太多了，可能你收集到的时候漏洞早已经被挖完了。

实战中

说了这么多，举一个利用这些手段挖到的漏洞吧（原谅不能放图，实在是不好打码），在一次文档的信息翻阅中，发现了某系统的链接是这样的形式：xxx-a-b.jd.com亦或是a-xxx-b.jd.com

对于前面的这种域名a-b.jd.com，我们可以利用hunter直接搜索即可

对于后面的域名可以利用灯塔进行域名爆破，如a-{fuzz}-b.jd.com

其他的我还是用的一个笨方法，脚本生成域名，然后用httpx去跑每一个域名，比较慢但是出的资产比灯塔要多。

假装是这个网站

发现这个网站存在未授权或注入漏洞，尝试以这个规则搜索其他网站，发现多个类似站点均存在类似漏洞

除了上述提到的，在一些测试过程中甚至是一些培训视频，学习文档，直播可能都可以达到某种效果

ps：甚至在有一次的文档里面没有对url打码，通过访问文档内的链接直接访问到了具体的功能

0x02：通过icon寻找

现在的资产测绘工具都是支持icon搜索的方式，比如我们找到了一个资产发现它存在某种比较通用的逻辑，在利用icon快速寻找类似资产

拿hunter举例，毕竟我目前几乎只用它了

点击icon就可以得到一串数据

web.icon=="717b138033a41361b32b60fc5062a"

去掉一个等于号web.icon="717b138033a41361b32b60fc5062a"，在添加一个关联系搜索，这里我用的比较多的是利用cert搜索

这里提到这种大家都知道的事情还是作为一个提醒，当找到一个资产存在多个漏洞的时候不要忘记利用此种方式尝试发散到其他网站中

0x03：短链接简单爆破

在某些系统会有邀请用户的功能，当进行邀请的时候会生成一个链接

这里提到这个是因为这个短链接与寻常的官方短链接不太相同，官方的常见短链接基本是经过处理过的了，不会有特别有用的信息。

当对这些短链接进行简单猜解的时候

反馈给我一个参数加密的链接，但是当我访问链接的时候，通过请求数据+此界面的js接口信息成功构造了一个返回订单信息的接口

最后也获得了一个较高的评分，当然这种方式不建议是无脑爆破，最好是当你发现这个短链接与平常官方常见的短链接明显不相同时去考虑稍微猜解一下，而且如果爆出来的是一个比较特殊的域名又可以结合一下去找类似的资产。

总结

由于有些东西不方便打码导致文字较多，文章写得比较杂乱。这里作为分享提供一个简单的思路，几种方式或可分开，或可结合使用。最终目的都是为了找到薄弱资产，让自己有所得。

原文始发于微信公众号（Str1am Record）：SRC漏洞挖掘中几种域名收集方式