SRC漏洞挖掘经验
思路
首先是熟能生巧
。我一开始挖洞时,也是看了很多网上的技巧并自己吸收,但做起来总是感觉无能为力。但现在这几天觉得越发轻松,一个网站会不会有洞,有没有隐藏的接口等,都能在几分钟内得出结论。
因为之前算是做过几个渗透测试的项目,所以对于挖洞我也是有一定的了解的。自始至终我都把关注重心放在“交互”上,这个思路也没有错。与ctf不同,每个生产环境都可能独一无二,很难在ctf中找到相似的例子。而且,关键也在于“信息收集
”上。
流程
1 | 浏览器:谷歌(搜索引擎)、火狐(配合bp抓包) |
1.首先对应的企业网址点击“提交漏洞”按钮可以看,这个也是我首次提交报告时发现的,一开始我还怕会不会“攻击”了非授权页面,总是心惊胆战的。
2.然后我会进入网站看看,浏览器左下角会显示各个链接的url,重点关注那些带?的。如果整个网站都没几个功能,就几个展示页面,这种我就…(跳4算了,都没什么好看的)
3.跟进链接,然后就开始抓包了。等到我挖洞的时候,我才发现,即使一个网站url是:?id=123
,但真正起交互的反而是后续的js刷新,即访问一个url会抓到好几个交互,第一个GET请求并不起交互作用。我发现很多网站真的很喜欢用js来发送请求,真的无语,随便就控制住了。
4.开始谷歌hack大法:
1 | – site:domain.com filetype:xls|doc|pdf |
总能搜索出一点有价值的东西。搜索filetype并不是真的想看他泄露了什么敏感资料(但我真的看到有啊~),复制链接,开始往上访问,总是能找到403或“管理页面”,这样的url总是暴露了使用什么cms,如wp-content/xx/xx/
,另偶尔还能自动跳转到管理员登录页面,这又是新的发现了。
5.根据网站性质选择侧重点:
zf网站:一般都是jsp,数据处理比PHP严谨很多,但语句有错总会返回报错信息。SQL整型的话添加不了什么字母构造payload,但可以试试整型溢出看一下SQL执行语句。
电商平台:一般会有注册登录的功能,可以尝试注册,然后修改头像昵称什么的,另外可以关注优惠券,cookie,越权等,但我遇到的很多都是用dedecms,防护做的很好。
自己diy的网站:这种看不出来是cms的,可能是自己写的前端或自己公司运营的,要么做的很棒,要么就很烂。真的可以每个功能点都试一下,也没什么好说的。但可以重点关注目录跳转。
6.这里是api的故事,如果抓包抓到返回的数据是json的话,我就会折腾上很久。每个参数都fuzz一下,看看能不能返回点什么有价值的信息。
7.说点其它的,事实上目录保护这点很多网站都没做好,总是跳转到后台编辑处,隐藏上传点等。另外,还有在生产环境中开启debug的。