开局一张图
这两天因为想去提升一下教育SRC的排名便去想着挖一下学校的漏洞,大大小小挖了10个左右,有了30rank,于是想把自己这两天的一些心得写出来
目标的选择
Google语法现在用的人我见得不多,大家最多的就是fofa、shadan、等一些信息收集平台,但是你想普通会员肯定都已经把前5页都翻个透了,没有超级会员也难找到合适的,存在漏洞的目标。所以使用谷歌语法是一个非常好的方式,免费,而且还收集的更加完全,因为fofa收集的资产并不是实时更新的。常见的收集教育的语法有这些:
intext:教务系统管理平台
intext:职业技术学院
选择职业院校是因为他们的防护工作大部分都做得不好,容易出现漏洞,而且安全意识比较差,除了这些方方式查找,你也可以使用多个限制来进行操作:
intext:职业技术学院 inurl:login
可以找到很多的登录页面。除了登录页面是敏感页面,大部分的登录都很大几率的是和他们自己的IP段有关的,很多学校的官网主页的IP并不是他们自己的服务器,而是托管到其他地方,这样是为了起到保护的作用,我们拿到他们的主站的IP,大部分都是没发继续找到更多的敏感信息的,所以使用这个语法会大概率的找到他们学校自己的IP。
C段的收集(重要)
C段整个收集环节中最重要的一环(个人感觉),也是最容易出洞的地方,首先简单的介绍一下C段的含义:比如我们找到一个IP是192.168.1.1的网站,那么他的C段IP就是192.168.1.1到192.168.1.254这范围内,这些IP统称为C段IP。为什么找这个C段呢?因为企业和学校还有政府的网站都很喜欢在一个C段里面,收集C段会得到很多意想不到的惊喜。这里我介绍一个插件:shoadn
这个插件在火狐和谷歌上面都可以找到,他的作用是当你打开一个网站以后,可以给你一个简单的信息,比如IP和开放端口哦,但是不能够全信,因为也不是实时更新的,有了它你可以快速的判断这个IP的一些情况,上面的这个截图的IP可以看出是一个套了CF的IP,所以我们就不收集这个IP的C段,因为收集了也没用。
怎么收集C段IP
我的收集方式是使用shodan +fofa,首先通过语法找到一个合适的站点,然后利用shodan判断出IP,再使用fofa进行C段的查看,fofa的语法为:ip="192.168.1.0/24"这样可以将fofa扫描过的C段列出来,当然不特准确,原因和上面一样,但是在快速挖掘SRC的时候,就需要走马观花的来做,因为你不要需要非得要挖到这个学校的漏洞,可以换下一个继续挖掘,如果你确实想要死磕,那么可以使用更加准确的反方式进行扫描,可以参考我的信息收集详解
实战的使用
这里我拿昨天的一个SQL注入来进行讲解,很遗憾的是这个学校的老师在审核的期间把网站关闭了,导致这个漏洞没有通过
首先是我利用了谷歌语法找到了他们的学生信息管理系统:
得到ip为210.32.82.45,看了一眼是正常的IP,于是上了fofa查看C段:
发现了存在很多登录系统,其中有个网站的Title是找回密码:
本着想去挖一个逻辑漏洞的想法打开了这个网站,但是这个网站是一个非常简陋的页面,猜测可能是自己写的,于是我直接随便输了一个学号,然后加上单引号,抓包,重放以后发现存在SQL注入,直接SQLMAP一把梭:
非常的简单,直接高危到手,但是管理员关网站的速度还是非常及时的,害
大部分的学校都是这样的IP分布,找C段是非常有必要的
其他技巧
- 弱口令
上面两种方式基本能够收集到很多有价值的目标了,后续的一些测试主要内容是围绕弱口令,然后后台登录,上传,getshell了,弱口令是非常重要的一个环节,字典什么的一定要新一点的好,不然可能跑不出来,还是这两天的一个漏洞,直接后台弱口令,绕过前段验证直接getshell:
- 抓包和返回包修改
这种方式可以绕过一些登录的验证和密码找回,当我们登录以后,一些事返回一个json值,我们可以按照开发的逻辑修改返回包,就能做到登录,比如下面这个例子:
我们登录一户,服务器返回一个login:flash,这样的返回包,我们吧flash改为true,就能够绕过登录
- 已知漏洞的挖掘
这个是老生常谈的事情了,在挖掘的时候可以根据一些特殊的信息确定CMS和框架,比如TP5的框架
后记
信息收集非常重要,真的很重要,需要大家好好的学一学
本文始发于微信公众号(WgpSec狼组安全团队):教育SRC的挖掘思路和一些小方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论