2021-05-26 09:36发布
一、漏洞挖掘的前期–信息收集
虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。
1、域名信息收集
src一般都只收对应的漏洞,很多src的公告里面就会明确范围;然后我们就需要根据这些范围来确定域名。
如果src上面没有给出范围,那么需要我们去搜集,你需要知道哪些domain是该公司的,主要通过手工来查看:
网站的关于页面/网站地图
whois反查
一些网站里面的跳转请求(也可以关注一下app)
还有就是百度,有些会在title 和 copyright信息里面出现该公司的信息
网站html源码:主要就是一些图片、js、css等,也会出现一些域名
apk反编译源码里面
…………还需要你们来补充
2、子域名信息收集
工具:
subdomain lijiejie的子域名收集工具(个人觉得挺好用的);
layer:这个工具也不错;
其他的还有很多,比如kali下的等等,不写那么多免得看着蛋疼;
但是只要是工具就会有误报,建议大家对获取的子域名写个脚本处理一下;判断哪些是可以访问的,哪些是不可以访问的,哪些访问是测试页面的。可以节约不少时间。
手工:其实也是可以工具化(爬虫思维,不过爬虫不是很准确)
利用google hacking 搜索,大家一定不要只用google 搜索,这样是不全面的,还有 bing(不用访问外国网站)、百度、360等等,因为很多国内的网站利用google去搜索是搜不到的。这里就不说语法了,贴几条常用的就行了。
搜集域名和mail地址:
搜集敏感文件:site:http://xxx.com filetype:doc
搜集管理后台:site:http://xxx.com 管理/site:http://xxx.com admin/site:http://xxx.com login
搜集mail:site:http://xxx.com intext:@http://xxx.com/intext:@http://xxx.com
搜集敏感web路径:site:http://xxx.com intitle:登录/site:http://xxx.com inurl:sql.php
3、敏感信息收集
这一块是比较大的一块,我这里举一些:
github源代码:网上有工具(https://github.com/repoog/GitPrey)
svn信息泄漏:这个只能用扫描器了
敏感文件:比如数据库配置文件啦(有案例的)、网站源码啊、数据库备份文件等等
敏感目录:网站后台目录/一些登录地址/一些接口目录
email:邮箱命名规则、公司是否具有邮箱默认密码(这个可以采取社工,毕竟我司默认密码就很弱鸡)。
员工号:很多oa、um、sso系统都是采用员工号登录的,所以知道员工号的规则很多时候能帮助我们进行撞库。
商家信息:如果是一些具有商家系统的,能收集到一些商家账户(自己搞去,可以注册,注册资料请百度)就可以进入很多系统来测试了。
4、小结一下
其实很多时候,我们通过信息收集能得到不少的漏洞了,我这里举几个简单的案例:
通过搜索引擎获取系统管理页面,直接越权访问;(说好的没有详细)
通过github直接找到管理后台账号密码;
通过目录/文件扫描直接得到系统信息(ip、管理员账号密码)连入服务器;
当然也有很多通过信息收集得到一些东西结合其他手段;
最多设置5个标签!
一、漏洞挖掘的前期–信息收集
虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。
1、域名信息收集
src一般都只收对应的漏洞,很多src的公告里面就会明确范围;然后我们就需要根据这些范围来确定域名。
如果src上面没有给出范围,那么需要我们去搜集,你需要知道哪些domain是该公司的,主要通过手工来查看:
网站的关于页面/网站地图
whois反查
一些网站里面的跳转请求(也可以关注一下app)
还有就是百度,有些会在title 和 copyright信息里面出现该公司的信息
网站html源码:主要就是一些图片、js、css等,也会出现一些域名
apk反编译源码里面
…………还需要你们来补充
2、子域名信息收集
工具:
subdomain lijiejie的子域名收集工具(个人觉得挺好用的);
layer:这个工具也不错;
其他的还有很多,比如kali下的等等,不写那么多免得看着蛋疼;
但是只要是工具就会有误报,建议大家对获取的子域名写个脚本处理一下;判断哪些是可以访问的,哪些是不可以访问的,哪些访问是测试页面的。可以节约不少时间。
手工:其实也是可以工具化(爬虫思维,不过爬虫不是很准确)
利用google hacking 搜索,大家一定不要只用google 搜索,这样是不全面的,还有 bing(不用访问外国网站)、百度、360等等,因为很多国内的网站利用google去搜索是搜不到的。这里就不说语法了,贴几条常用的就行了。
搜集域名和mail地址:
搜集敏感文件:site:http://xxx.com filetype:doc
搜集管理后台:site:http://xxx.com 管理/site:http://xxx.com admin/site:http://xxx.com login
搜集mail:site:http://xxx.com intext:@http://xxx.com/intext:@http://xxx.com
搜集敏感web路径:site:http://xxx.com intitle:登录/site:http://xxx.com inurl:sql.php
3、敏感信息收集
这一块是比较大的一块,我这里举一些:
github源代码:网上有工具(https://github.com/repoog/GitPrey)
svn信息泄漏:这个只能用扫描器了
敏感文件:比如数据库配置文件啦(有案例的)、网站源码啊、数据库备份文件等等
敏感目录:网站后台目录/一些登录地址/一些接口目录
email:邮箱命名规则、公司是否具有邮箱默认密码(这个可以采取社工,毕竟我司默认密码就很弱鸡)。
员工号:很多oa、um、sso系统都是采用员工号登录的,所以知道员工号的规则很多时候能帮助我们进行撞库。
商家信息:如果是一些具有商家系统的,能收集到一些商家账户(自己搞去,可以注册,注册资料请百度)就可以进入很多系统来测试了。
4、小结一下
其实很多时候,我们通过信息收集能得到不少的漏洞了,我这里举几个简单的案例:
通过搜索引擎获取系统管理页面,直接越权访问;(说好的没有详细)
通过github直接找到管理后台账号密码;
通过目录/文件扫描直接得到系统信息(ip、管理员账号密码)连入服务器;
当然也有很多通过信息收集得到一些东西结合其他手段;
一周热门 更多>