页面404了?

admin
admin
admin
144377
文章
118
评论
2025年6月19日18:40:36评论5 views字数 2038阅读6分47秒阅读模式

一、背景

访问一个不存在的网络路径时,服务器通常会返回404 Not Found状态码。相信各位师傅看到404提示,估计直接放弃这个站点了吧。但是,这个看似无害的“空白”或“错误页面”,却是一个充满可能性的探测起点。就是你跟别人出洞的差别点,src千万别错过!

本文将深入分析攻击者如何利用404响应进行扫描,404页面远非"终点",是探测服务器秘密的起点。从404的“噪声”中挖掘出导致严重漏洞的“信号”——那些本不该存在的敏感文件与目录。

二、隐藏的资源及攻击面

源代码泄露:版本控制目录(如.git, .svn, .hg)的残留是最致命的发现之一。下载 .git 目录后,可利用工具(如 git-dumper)重建完整的源代码库,从中挖掘硬编码的API密钥、数据库凭证、业务逻辑漏洞甚至0day。

配置文件泄露:开发或运维过程中遗留的配置文件是“宝藏图”。常见的如 .env (环境变量,常含数据库密码、API密钥)、config.php.bak,application.properties。备份文件(.bak, .tar.gz, .zip, .sql)也可能包含数据库快照或完整站点备份。

管理接口暴露:未删除或未正确配置权限的管理后台是直接入口。扫描目标包括/wp-admin/,/phpmyadmin/,/adminer.php,actuator/,/solr/admin/,/tomcat/manager/html 等。即使需要登录,暴露的登录界面也为暴力破解提供了目标。

调试与测试痕迹:开发人员遗留在生产环境的测试脚本(test.php, debug.php)、调试日志(debug.log, error.log)、信息探针(phpinfo.php)会泄露服务器路径、软件版本、内部IP、请求参数甚至栈追踪信息。

依赖关系泄露:如

package.json, composer.json等文件暴露了应用依赖的第三方库及其版本。可据此查找已知公开漏洞(CVE)进行针对性利用。

云服务元数据:在云环境(AWS, Azure, GCP,阿里云等)中,特定的内部路径(如 /latest/meta-data/ for AWS)可能暴露云主机的IAM角色凭证、安全组配置、甚至用户数据脚本。这些信息可用于横向移动或提升权限。

备份与归档目录:显式的/backup/, /backups/, /archive/ 目录,或包含 backup, old, 2023 等关键词的路径,是寻找数据库转储(.sql)、整站压缩包的首选地。

三、隐藏资源挖掘策略与技巧

1、精准字典构建:

通用字典增强:在SecLists, fuzzdb (链接见文末)等通用字典基础上,融入针对目标技术栈的路径(如发现WordPress痕迹,则重点加入 wp-*.php, plugins/, themes/ 相关路径)。

动态爬虫收集:先爬取目标网站存在的有效路径/products/, /users/profile/,这种基于目标的字典命中率极高。

智能扩展名:不仅扫描裸路径,自动附加高危扩展名,.php, .bak, .swp (vim临时文件), .old, .tar.gz, .zip, .sql, .env, .txt, .log, .json。

2、响应指纹识别与过滤:

建立404基线: 首先记录目标网站标准404页面的关键特征,HTTP状态码(严格应为404)、响应正文长度、特定HTML元素、MD5哈希值或关键字符串(如“Not Found”)。

智能过滤:扫描工具(如ffuf, dirsearch, gobuster)配置为自动忽略所有匹配基线特征的响应。只有状态码非404(如200, 403, 301)或响应长度/内容显著不同的结果才会被保留,大幅降低误报和噪音。例如,访问 /wp-admin/ 返回403(Forbidden)比返回200更值得警惕(说明路径存在且有访问控制),而返回404则是正常预期。

3、处理重定向与动态内容:

追踪重定向:扫描工具需配置自动跟随重定向(3xx)。有时访问一个不存在的路径会被重定向到登录页(302到 /login)或自定义404页(200),这本身可能暴露逻辑缺陷。

DOM型XSS探测: 即使在“空白”404页,也会在URL参数中测试,检查是否存在客户端漏洞。404页面处理用户输入的方式也可能不安全。

4、递归深度扫描:

一旦发现一个敏感目录(如/backup/),立即启动对该目录的深度扫描。

推荐工具

disearch:https://github.com/maurosoria/dirsearch

fuff:https://github.com/ffuf/ffuf

推荐常用的fuzz字典

1.https://github.com/fuzzdb-project/fuzzdb

2.https://github.com/danielmiessler/SecLists

3.https://wordlists.assetnote.io/

 

原文始发于微信公众号(锐鉴安全):页面404了?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月19日18:40:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   页面404了?http://cn-sec.com/archives/4181351.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息