一波三折,终于找到src漏洞挖掘的方法了【建议收藏】
0x01 信息收集
1、Google Hack實用語法
迅速查找信息泄露、管理后臺暴露等漏洞語法,例如:
filetype:txt 登錄 filetype:xls 登錄 filetype:doc 登錄 intitle:后臺管理 intitle:login intitle:后臺管理 inurl:admin intitle:index of /查找指定網站,再加上site:http://example.com,例如:
site:example.com filetype:txt 登錄 site:example.com intitle:后臺管理 site:example.com admin site:example.com login site:example.com system site:example.com 管理 site:example.com 登錄 site:example.com 內部 site:example.com 系統關鍵詞可以根據實際情況進行調整,推薦Google、Bing,搜索內容如果被刪除,網頁快照一般仍會有記錄。
2、Shodan、fofa網絡資產搜索引擎
Shodan、fofa、zoomeye、360quake等網絡資產搜索引擎可以用來搜索網絡空間中在線設備,功能十分強大,相當于網絡安全界的google:
尤其是現在支持icon圖標、logo搜索,那是方便的一比
比如對某IP進行信息檢索,點擊view raw data:
找到data.0.http.favicon.data字段:
搜索相應的值即可根據企業logo查詢資產:
http.favicon.hash:-1507567067推薦安裝shodan chrome 插件,方便進行查看和使用:
https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleapfofa是國內的一款網絡空間資產搜索引擎,與shodan類似,常見搜索語法:
title="abc" 從標題中搜索abc。例:標題中有北京的網站 header="abc" 從http頭中搜索abc。例:jboss服務器 body="abc" 從html正文中搜索abc。例:正文包含Hacked by domain="qq.com" 搜索根域名帶有qq.com的網站。例: 根域名是qq.com的網站 host=".gov.cn" 從url中搜索.gov.cn,注意搜索要用host作為名稱。例: 政府網站, 教育網站 port="443" 查找對應443端口的資產。例: 查找對應443端口的資產 ...實用查詢語句:
body="關鍵詞1" && country=CN&&title="關鍵詞2"可以快速定位國內想要搜索的網站信息。
3、子域名收集
推薦幾個好用的工具:
JSFinder
在網站的JS文件中,會存在各種對測試有幫助的內容,JSFinder可以幫助我們獲取到JS中的url和子域名的信息,拓展我們的滲透范圍。爬取分為普通爬取和深度爬取,深度爬取會深入下一層頁面爬取JS,時間會消耗的更長,流程如下:
Sublist3r
Sublist3r是一個python版工具,其設計原理是基于通過使用搜索引擎,從而對站點子域名進行列舉。Sublist3r目前支持以下搜索引擎:Google, Yahoo, Bing, 百度以及Ask,而未來將支持更多的搜索引擎。目前,Sublist3r同樣也通過Netcraft以及DNSdumpster獲取子域名。
云悉
云悉可以在線搜集子域名、ip段、CMS指紋等信息
0x02 微信公眾號抓包技巧
企業微信公眾號可以大大拓寬我們的測試范圍,公眾號部分鏈接可以直接復制到瀏覽器中打開,然后按照常規的滲透測試方法進行,但是有的鏈接復制到瀏覽器后,會出現下圖情況
對于這種情況,可以通過安卓模擬器抓微信包、真機微信抓包的方式解決,但都相對不太方便,和大家分享通過SocksCap64直接抓微信PC端的流量方法。
SocksCap64是一款功能非常強大的代理客戶端,支持http/https、socks4/5、TCP、UDP等協議,在內網滲透中經常使用,同樣可以用他來代理微信PC客戶端的流量,并將流量轉發至burp中,就可以進行抓包分析。
首先還是在burp中設置監聽:
然后在SocksCap64中設置代理服務器為burp的地址和端口,代理方式HTTP:
測試一下,是否成功:
然后利用SocksCap64啟動微信:
即可成功抓到微信PC端的流量:
0x03 登錄界面思路
0x04 短信&郵件轟炸繞過
在網站測試的過程中,常常在用戶注冊登錄時出現手機號/郵箱注冊,這里就可能出現短信&郵件炸漏洞,此類漏洞測試比較方便,雖然有的站點做了防護,但也有一些繞過的辦法。
這里收集了部分目前較為流行的臨時接收短信的網站,方便用于測試:
https://www.pdflibr.com/http://www.z-sms.com/https://www.receive-sms-online.info/[國內] http://www.smszk.com/[國外] http://receive-sms-online.com/[國外] https://smsnumbersonline.com/[國外] https://www.freeonlinephone.org/[國外] https://sms-online.co/receive-free-sms在應用手機號/郵箱和驗證碼作為用戶登錄憑證時,一般涉及到的網站功能點主要包括:
賬號注冊
首次設置密碼時用戶身份校驗
賬號登錄
重置密碼
綁定手機/郵箱
修改綁定手機/郵箱
免費試用/活動領取/反饋處
…
常見的測試和繞過手段:
0x05 邏輯漏洞
隨著開發人員安全意識的日益加強,IPS/IDS、WAF、全流量檢測等防護設備的不斷部署,傳統的SQL注入漏洞、命令執行等漏洞正變得越來越少,或者越來越難挖(需要繞過各種防御設備)。但業務邏輯漏洞幾乎可以bypass一切傳統的安全防護設備,目前還沒有非常有效的防御手段。同時,業務邏輯紛繁復雜,再資深的程序員也可能挖坑,所以只要基礎扎實,邏輯思維能力強,耐心細心,不放過任何一個步驟,此類漏洞比較容易挖。
1、修改返回包的越權
場景1:修改手機號
一般的修改邏輯為:認證原手機號 -> 填寫新手機號 -> 提交修改
如果在進行下一步操作時,沒有校驗上一步的認證是否成功時,就會存在邏輯缺陷繞過。
比如在第一步認證原手機號時,隨意輸入驗證碼,將response包中的相關字段進行修改,比如0改成1,false改成true,即可繞過第一步驗證,進入填寫新手機號界面,如果第三步提交修改時沒有驗證第一步的結果,就會造成邏輯漏洞。
場景2:登錄繞過
部分網站的身份驗證放在了前端,因此只需要將response包中的相關字段進行修改,比如0改成1,false改成true,就可以登錄任意用戶賬號。
2、水平越權
場景1:遍歷ID
在一些請求中,GET或POST中有明顯的id數字參數(手機號、員工號、賬單號、銀行卡號、訂單號等等),可以嘗試進行遍歷,如果程序沒有對當前權限進行判斷,就會存在水平越權問題。
場景2:ID替換
如果程序對用戶標識進行了hash或者加密,而又無法破解用的什么加密方式的話,就無法通過遍歷ID來獲取其他用戶信息了。此時可以嘗試注冊兩個賬號,通過替換兩個ID加密后的值,判斷程序是否對權限進行了驗證,如果沒有,也會存在越權問題。
3、垂直越權
觀察cookie中的session字段,猜測修改,發現:
level=1: admin
level=2: vip user
level=3: normal user
說明,本教程文章僅限用于學習和研究目的,請勿用于非法用途。漏洞挖掘中應遵守SRC中的相關規則。
【100份src技術文檔領取】
學習網絡安全的小伙伴們,為了幫助到大家,我也整理了一些學習視頻、全套工具包、應急響應等包括市面上很全面的資料文檔,我這里都有了,需要的話【點我領取】
安全建議:
一、防范病毒或木馬的攻擊的方法:
1.為計算機安裝殺毒軟件,定期掃描系統、查殺病毒;
2.及時更新病毒庫、更新系統補丁;
3.下載軟件時盡量到官方網站或大型軟件下載網站,在安裝或打開來歷不明的軟件或文件前先殺毒;
4.不隨意打開不明網頁鏈接,尤其是不良網站的鏈接,陌生人通過QQ給自己傳鏈接時,盡量不要打開;
5.使用網絡通信工具時不隨便接收陌生人的文件,若接收可取消“隱藏已知文件類型擴展名“功能來查看文件類型;
6.對公共磁盤空間加強權限管理,定期查殺病毒;
7.打開移動存儲器前先用殺毒軟件進行檢查,可在移動存儲器中建立名為autorun.inf的文件夾(可防U盤病毒啟動);
8.需要從互聯網等公共網絡上下載資料轉入內網計算機時,用刻錄光盤的方式實現轉存;
9.對計算機系統的各個賬號要設置口令,及時刪除或禁用過期賬號;
10.定期備份,當遭到病毒嚴重破壞后能迅速修復。
二、預防QQ、微信、微博等社交平臺賬號被盜的方法
1.賬戶和密碼盡量不要相同,定期修改密碼,增加密碼的復雜度,不要直接用生日、電話號碼、證件號碼等有關個人信息的數字作為密碼;
2.密碼盡量由大小寫字母、數字和其他字符混合組成,適當增加密碼的長度并經常更換;
3.不同用途的網絡應用,應該設置不同的用戶名和密碼;
4.在網吧使用電腦前重啟機器,警惕輸入賬號密碼時被人偷看;為防賬號被偵聽,可先輸入部分賬號名、部分密碼,然后再輸入剩下的賬號名名、密碼;
5.涉及網絡交易時,要注意通過電話與交易對象本人確認。
三、安全使用電子郵件注意事項
1.不要隨意點擊不明郵件中的鏈接、圖片和文件;
2.使用郵箱地址作為網站注冊的用戶名時,應設置與原郵箱登錄密碼不相同的網站密碼;
3.如果有初始密碼,應修改密碼;
4.適當設置找回密碼的提示問題;
5.當收到與個人信息和金錢相關(如中獎、集資等)的郵件時要提高警惕。
四、釣魚網站防范方法
1.通過查詢網站備案信息等方式核實網站資質的真偽;
2.安裝安全防護軟件;
3.要警惕中獎、修改網銀密碼的通知郵件、短信,不要輕意點擊未經核實的陌生鏈接;
4.不要在網吧、賓館等公共電腦上登錄個人賬號或進行金融業務等。
五、防范社交網站信息泄露防范
1.利用社交網站的安全與隱私設置保護敏感信息;
2.不要輕易點擊未經核實的鏈接;
3.在社交網站謹慎發布個人信息;
4.根據自己對網站的需求進行注冊。
六、防范個人信息泄露的方法
1.在安全級別較高的物理或邏輯區域內處理個人敏感信息;
2.敏感個人信息需加密保存;
3.不使用U盤存儲交互個人敏感信息;
4.盡量不要在可訪問互聯網的設備上保存或處理個人敏感信息;
5.只將個人信息轉移給合法的接受者;
6.個人敏感信息需帶出公司時要防止被盜、丟失;
7.電子郵件發送時要加密,并注意不要錯發;
8.郵包寄送時選擇可信賴的郵寄公司,并要求回執;
9.避免傳真錯誤發送;
10.紙質資料要用碎紙機銷毀;
11.廢棄的光盤、U盤、電腦等要消磁或徹底破壞。
七、防范假冒網站的方法
1.直接輸入所要登陸網站的網址,不通過其他鏈接進入;
2.登錄網站后留意核對所登錄的網址與官方公布的網址是否相符;
3.登錄官方發布的相關網站辨識真偽;
4.安裝防護軟件,及時更新系統補丁;
5.當收到郵件、短信、電話等要求到指定的網頁修改密碼,或通知中獎并要求在領取獎金前先支付稅金、郵費等時,務必提高警惕。
八、保護網上購物安全的方法
1.核實網站資質及網站聯系方式的真偽,盡量到知名權威的網上商城購物;
2.盡量通過網上第三方支付平臺交易,切忌直接與賣家私下交易;
3.在購物時要注意商家的信譽、評價和聯系方式;
4.在交易完成后要完整保存交易訂單等信息;
5.在填寫支付信息時,一定要檢查支付網站的真實性;
6.注意保護個人隱私,直接使用個人的銀行賬號、密碼和證件號碼等敏感信息時要慎重;
7.不要輕信網上低價推銷廣告,也不要隨意點擊未經核實的陌生鏈接。
九、防范網絡傳銷的方法
1.在遇到相關創業、投資項目時,要仔細研究其商業模式。無論打著什么樣的旗號,如果其經營的項目并不創造任何財富,卻許諾只要交錢入會,會發展人員就能獲取“回報”,請提高警惕。
2.克服貪欲,不要幻想“一夜暴富”。如果抱著僥幸心理參與其中,最終只會落得血本無歸、傾家蕩產,甚至走向犯罪的道路。
十、安全使用WI-Fi的方法
1.勿見到免費WI-Fi就使用,要用可靠的WI-Fi接入點,關閉手機和平板電腦等設備的無線網絡自動連接功能,僅在需要時開啟;
2.警惕公共場所免費的無線信號為不法分子設置的釣魚陷阱,尤其是一些和公共場所內已開放的WI-Fi同名的信號。在公共場所使用陌生的無線網絡時,盡量不要進行與資金有關的銀行轉賬與支付;
3.修改無線路由器默認的管理員用戶和密碼,將家中無線路由器的密碼設置得復雜一些,并采用強密碼,最好是字母、數字和特殊符號的組合;
4.無人使用時,關閉無線路由器電源。
十一、保證使用智能手機安全的方法
1.為手機設置訪問密碼是保護手機安全的第一道防線,以防智能手機丟失時,犯罪分子可能會獲得通訊錄、文件等重要信息并加以利用;
2.不要輕易打開陌生人通過手機發送的鏈接和文件;
3.為手機設置鎖屏密碼,并將手機隨身攜帶;
4.在QQ、微信等應用程序中關閉地理定位功能,并僅在需要時開啟藍牙;
5.常為手機數據做備份;
6.裝安全防護軟件,并經常對手機系統進行掃描;
7.權威網站下載手機應用軟件,并在安裝時謹慎選擇相關權限;
8.不要試圖破解自己的手機,以保證應用程序的安全性。
十二、保護手機支付安全的方法
建議手機支付客戶端與手機綁定,使用數字證書,開啟實名認證;
最好從官方網站下載手機支付客戶端和網上商城應用;
使用手機支付服務前,按要求在手機上安裝專門用于安全防范的插件;
登陸手機支付應用、網上商城時,勿選擇“忘記密碼”選項;
經常查看手機任務管理器,檢查是否有惡意程序在后臺運行,并定期使用手機安全系統軟件掃描手機系統;
無論以何種理由要求你把資金打入陌生人賬戶、安全賬戶的行為都是詐騙犯罪。切勿上當受騙!
十三、網絡詐騙類型辨別方法
1.利用QQ盜號和網絡游戲交易進行詐騙,冒充好友借錢;
2.網絡購物詐騙,收取訂金騙錢;
3.網上中獎詐騙,指犯罪分子利用傳播軟件隨意向互聯網QQ用戶、郵箱用戶、網絡游戲用戶、淘寶用戶等發布中獎提示信息;
4.“網絡釣魚”詐騙,利用欺騙性的電子郵件和偽造的互聯網站進行詐騙活動,獲取受騙者財務信息進而竊取資金;
十四、防范網絡虛假、有害信息方法
1.及時舉報類似謠言信息;
2.不造謠,不信謠,不傳謠;
3.要注意辨別信息的來源和可靠度,要通過經第三方可信網站認證的網站獲取信息;
4.要注意打著“發財致富”“普及科學”,傳授“新技術”等幌子的信息;
最后再補充一下,現在國家大力發展網絡安全,特別是中小企業特別需要網絡安全方面的人才,為什么呢?黑帽黑客大企業不敢滲透,滲透中小企業去了,所以中小企業更需要這方面的人才去防御。
總結
以上是生活随笔為你收集整理的一波三折,终于找到src漏洞挖掘的方法了【建议收藏】的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 自己编写vb进度条控件
- 下一篇: cap理论具体含义_CAP理论中的P到底