SRC 漏洞挖掘实战经验与技巧总结
一、漏洞挖掘的前期:信息收集
信息收集是挖洞过程中最重要的一部分。很多人不知道如何入手,其实挖洞的核心在于:信息收集 + 常规 OWASP Top 10 + 逻辑漏洞。这些漏洞的测试方法本身并不复杂,关键在于思路。
1. 基础域名确定
SRC 通常只收对应的漏洞范围,公告中会明确目标。如果没有给出范围,需要通过手工查看确定公司域名:
- 网站的关于页面/网站地图
- Whois 反查
- 网站内的跳转请求(关注 App 包)
- 搜索引擎(百度等)title 和 copyright 信息
- 网站 HTML 源码(图片、JS、CSS 中可能包含域名)
- APK 反编译源码分析
2. 子域名信息收集
工具推荐:
- Subdomain lijiejie:个人觉得挺好用的。
- Layer:效果也不错。
- Kali 下的其他工具。
注意: 工具会有误报,建议编写脚本处理获取的子域名,判断哪些可访问、哪些不可访问、哪些是测试页面,以节约时间。
手工搜索(Google Hacking): 不要只用 Google,国内网站需结合 Bing、百度、360 等。
- 搜集域名和邮件地址:
site:xxx.com - 搜集敏感文件:
site:xxx.com filetype:doc - 搜集管理后台:
site:xxx.com 管理/site:xxx.com admin/site:xxx.com login - 搜集邮箱:
site:xxx.com intext:@xxx.com - 搜集敏感 Web 路径:
site:xxx.com intitle:登录/site:xxx.com inurl:sql.php
3. 敏感信息收集
- GitHub 源代码: 网上有相关工具扫描。
- SVN 信息泄漏: 通常使用扫描器检测。
- 敏感文件: 数据库配置文件、网站源码、数据库备份文件等。
- 敏感目录: 网站后台目录、登录地址、接口目录。
- Email: 邮箱命名规则、公司默认密码(社工手段)。
- 员工号: OA、UM、SSO 系统常采用员工号登录,了解规则有助于撞库。
- 商家信息: 针对具有商家系统的平台,注册资料可用于进入系统测试。
4. 小结
通过信息收集往往能直接发现漏洞:
- 通过搜索引擎获取系统管理页面,直接越权访问。
- 通过 GitHub 找到管理后台账号密码。
- 通过目录/文件扫描得到系统信息(IP、管理员账号密码)并连入服务器。
二、漏洞挖掘的中期:信息处理
1. 信息整理
收集完信息后必须整理,这对后期渗透有很大帮助。建议使用 Word 或 Excel 分类记录:
- 哪些网站功能类似
- 哪些网站可能使用同一模版
- 哪些网站有 WAF(一般在 URL 中标明)
- 哪些网站能登录(注册的账号要记住,准备两个手机号和邮箱方便注册)
- 哪些网站暴露过哪些类型的漏洞
- 网站目前有哪些功能(关注公告看业务更迭)
2. 漏洞整理
对挖掘出的漏洞要有详细记录,方便回顾和未来参考。记录内容包括:
