一波三折,终于找到 src 漏洞挖掘的方法了【建议收藏】

news/2024/12/29 15:07:40/

0x01 信息收集

1、Google Hack 实用语法

迅速查找信息泄露、管理后台暴露等漏洞语法,例如:

filetype:txt 登录
filetype:xls 登录
filetype:doc 登录
intitle:后台管理
intitle:login
intitle:后台管理  inurl:admin
intitle:index of /

 查找指定网站,再加上site:http://example.com例如

site:example.com filetype:txt 登录
site:example.com intitle:后台管理
site:example.com admin
site:example.com login
site:example.com system
site:example.com 管理
site:example.com 登录
site:example.com 内部
site:example.com 系统

关键词可以根据实际情况进行调整,推荐 Google、Bing,搜索内容如果被删除,网页快照一般仍会有记录。

2、Shodan、fofa 网络资产搜索引擎

Shodan、fofa、zoomeye、360quake 等网络资产搜索引擎可以用来搜索网络空间中在线设备,功能十分强大,相当于网络安全界的 google:

尤其是现在支持 icon 图标、logo 搜索,那是方便的一比

比如对某 IP 进行信息检索,点击 view raw data:

找到 data.0.http.favicon.data 字段:

搜索相应的值即可根据企业 logo 查询资产:

http.favicon.hash:-1507567067

 推荐安装 shodan chrome 插件,方便进行查看和使用:

https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

fofa是国内的一款网络空间资产搜索引擎,与 shodan 类似,常见搜索语法: 

title="abc" 从标题中搜索abc。例:标题中有北京的网站
header="abc" 从http头中搜索abc。例:jboss服务器
body="abc" 从html正文中搜索abc。例:正文包含Hacked by
domain="qq.com" 搜索根域名带有qq.com的网站。例: 根域名是qq.com的网站
host=".gov.cn" 从url中搜索.gov.cn,注意搜索要用host作为名称。例: 政府网站, 教育网站
port="443" 查找对应443端口的资产。例: 查找对应443端口的资产
...

实用查询语句:

body="关键词1" && country=CN&&title="关键词2"

可以快速定位国内想要搜索的网站信息。

【一一帮助网络安全提升点我一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

3、子域名收集

推荐几个好用的工具:

JSFinder

在网站的 JS 文件中,会存在各种对测试有帮助的内容,JSFinder 可以帮助我们获取到 JS 中的 url 和子域名的信息,拓展我们的渗透范围。爬取分为普通爬取和深度爬取,深度爬取会深入下一层页面爬取 JS,时间会消耗的更长,流程如下:

Sublist3r

Sublist3r 是一个 python 版工具,其设计原理是基于通过使用搜索引擎,从而对站点子域名进行列举。Sublist3r 目前支持以下搜索引擎:Google, Yahoo, Bing, 百度以及 Ask,而未来将支持更多的搜索引擎。目前,Sublist3r 同样也通过 Netcraft 以及 DNSdumpster 获取子域名。

云悉

云悉可以在线搜集子域名、ip 段、CMS 指纹等信息

0x02 微信公众号抓包技巧

企业微信公众号可以大大拓宽我们的测试范围,公众号部分链接可以直接复制到浏览器中打开,然后按照常规的渗透测试方法进行,但是有的链接复制到浏览器后,会出现下图情况

对于这种情况,可以通过安卓模拟器抓微信包、真机微信抓包的方式解决,但都相对不太方便,和大家分享通过 SocksCap64 直接抓微信 PC 端的流量方法。

SocksCap64 是一款功能非常强大的代理客户端,支持 http/https、socks4/5、TCP、UDP 等协议,在内网渗透中经常使用,同样可以用他来代理微信 PC 客户端的流量,并将流量转发至 burp 中,就可以进行抓包分析。

首先还是在 burp 中设置监听:

然后在 SocksCap64 中设置代理服务器为 burp 的地址和端口,代理方式 HTTP:

测试一下,是否成功:

然后利用 SocksCap64 启动微信:

即可成功抓到微信 PC 端的流量:

0x03 登录界面思路

0x04 短信 &邮件轰炸绕过

在网站测试的过程中,常常在用户注册登录时出现手机号/邮箱注册,这里就可能出现短信 &邮件炸漏洞,此类漏洞测试比较方便,虽然有的站点做了防护,但也有一些绕过的办法。

这里收集了部分目前较为流行的临时接收短信的网站,方便用于测试:

https://www.pdflibr.com/http://www.z-sms.com/https://www.receive-sms-online.info/[国内] http://www.smszk.com/[国外] http://receive-sms-online.com/[国外] https://smsnumbersonline.com/[国外] https://www.freeonlinephone.org/[国外] https://sms-online.co/receive-free-sms

在应用手机号/邮箱和验证码作为用户登录凭证时,一般涉及到的网站功能点主要包括:

账号注册

首次设置密码时用户身份校验

账号登录

重置密码

绑定手机/邮箱

修改绑定手机/邮箱

免费试用/活动领取/反馈处

...

常见的测试和绕过手段:

0x05 逻辑漏洞

随着开发人员安全意识的日益加强,IPS/IDS、WAF、全流量检测等防护设备的不断部署,传统的 SQL 注入漏洞、命令执行等漏洞正变得越来越少,或者越来越难挖(需要绕过各种防御设备)。但业务逻辑漏洞几乎可以 bypass 一切传统的安全防护设备,目前还没有非常有效的防御手段。同时,业务逻辑纷繁复杂,再资深的程序员也可能挖坑,所以只要基础扎实,逻辑思维能力强,耐心细心,不放过任何一个步骤,此类漏洞比较容易挖。

1、修改返回包的越权

场景 1:修改手机号

一般的修改逻辑为:认证原手机号 -> 填写新手机号 -> 提交修改

如果在进行下一步操作时,没有校验上一步的认证是否成功时,就会存在逻辑缺陷绕过。比如在第一步认证原手机号时,随意输入验证码,将 response 包中的相关字段进行修改,比如 0 改成 1,false 改成 true,即可绕过第一步验证,进入填写新手机号界面,如果第三步提交修改时没有验证第一步的结果,就会造成逻辑漏洞。

场景 2:登录绕过

部分网站的身份验证放在了前端,因此只需要将 response 包中的相关字段进行修改,比如 0 改成 1,false 改成 true,就可以登录任意用户账号。

2、水平越权

场景 1:遍历 ID 在一些请求中,GET 或 POST 中有明显的 id 数字参数(手机号、员工号、账单号、银行卡号、订单号等等),可以尝试进行遍历,如果程序没有对当前权限进行判断,就会存在水平越权问题。

场景 2:ID 替换如果程序对用户标识进行了 hash 或者加密,而又无法破解用的什么加密方式的话,就无法通过遍历 ID 来获取其他用户信息了。此时可以尝试注册两个账号,通过替换两个 ID 加密后的值,判断程序是否对权限进行了验证,如果没有,也会存在越权问题。

3、垂直越权

观察 cookie 中的 session 字段,猜测修改,发现:level=1: adminlevel=2: vip userlevel=3: normal user

说明,本教程文章仅限用于学习和研究目的,请勿用于非法用途。漏洞挖掘中应遵守 SRC 中的相关规则。【100份src技术文档点击领取】

安全建议:

一、防范病毒或木马的攻击的方法:

1.为计算机安装杀毒软件,定期扫描系统、查杀病毒;

2.及时更新病毒库、更新系统补丁;

3.下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒;

4.不随意打开不明网页链接,尤其是不良网站的链接,陌生人通过 QQ 给自己传链接时,尽量不要打开;

5.使用网络通信工具时不随便接收陌生人的文件,若接收可取消“隐藏已知文件类型扩展名“功能来查看文件类型;

6.对公共磁盘空间加强权限管理,定期查杀病毒;

7.打开移动存储器前先用杀毒软件进行检查,可在移动存储器中建立名为 autorun.inf 的文件夹(可防 U 盘病毒启动);

8.需要从互联网等公共网络上下载资料转入内网计算机时,用刻录光盘的方式实现转存;

9.对计算机系统的各个账号要设置口令,及时删除或禁用过期账号;

10.定期备份,当遭到病毒严重破坏后能迅速修复。

二、预防 QQ、微信、微博等社交平台账号被盗的方法

1.账户和密码尽量不要相同,定期修改密码,增加密码的复杂度,不要直接用生日、电话号码、证件号码等有关个人信息的数字作为密码;

2.密码尽量由大小写字母、数字和其他字符混合组成,适当增加密码的长度并经常更换;

3.不同用途的网络应用,应该设置不同的用户名和密码;

4.在网吧使用电脑前重启机器,警惕输入账号密码时被人偷看;为防账号被侦听,可先输入部分账号名、部分密码,然后再输入剩下的账号名名、密码;

5.涉及网络交易时,要注意通过电话与交易对象本人确认。

三、安全使用电子邮件注意事项

1.不要随意点击不明邮件中的链接、图片和文件;

2.使用邮箱地址作为网站注册的用户名时,应设置与原邮箱登录密码不相同的网站密码;

3.如果有初始密码,应修改密码;

4.适当设置找回密码的提示问题;

5.当收到与个人信息和金钱相关(如中奖、集资等)的邮件时要提高警惕。

四、钓鱼网站防范方法

1.通过查询网站备案信息等方式核实网站资质的真伪;

2.安装安全防护软件;

3.要警惕中奖、修改网银密码的通知邮件、短信,不要轻意点击未经核实的陌生链接;

4.不要在网吧、宾馆等公共电脑上登录个人账号或进行金融业务等。

五、防范社交网站信息泄露防范

1.利用社交网站的安全与隐私设置保护敏感信息;

2.不要轻易点击未经核实的链接;

3.在社交网站谨慎发布个人信息;

4.根据自己对网站的需求进行注册。

六、防范个人信息泄露的方法

1.在安全级别较高的物理或逻辑区域内处理个人敏感信息;

2.敏感个人信息需加密保存;

3.不使用 U 盘存储交互个人敏感信息;

4.尽量不要在可访问互联网的设备上保存或处理个人敏感信息;

5.只将个人信息转移给合法的接受者;

6.个人敏感信息需带出公司时要防止被盗、丢失;

7.电子邮件发送时要加密,并注意不要错发;

8.邮包寄送时选择可信赖的邮寄公司,并要求回执;

9.避免传真错误发送;

10.纸质资料要用碎纸机销毁;

11.废弃的光盘、U 盘、电脑等要消磁或彻底破坏。

七、防范假冒网站的方法

1.直接输入所要登陆网站的网址,不通过其他链接进入;

2.登录网站后留意核对所登录的网址与官方公布的网址是否相符;

3.登录官方发布的相关网站辨识真伪;

4.安装防护软件,及时更新系统补丁;

5.当收到邮件、短信、电话等要求到指定的网页修改密码,或通知中奖并要求在领取奖金前先支付税金、邮费等时,务必提高警惕。

八、保护网上购物安全的方法

1.核实网站资质及网站联系方式的真伪,尽量到知名权威的网上商城购物;

2.尽量通过网上第三方支付平台交易,切忌直接与卖家私下交易;

3.在购物时要注意商家的信誉、评价和联系方式;

4.在交易完成后要完整保存交易订单等信息;

5.在填写支付信息时,一定要检查支付网站的真实性;

6.注意保护个人隐私,直接使用个人的银行账号、密码和证件号码等敏感信息时要慎重;

7.不要轻信网上低价推销广告,也不要随意点击未经核实的陌生链接。

九、防范网络传销的方法

1.在遇到相关创业、投资项目时,要仔细研究其商业模式。无论打着什么样的旗号,如果其经营的项目并不创造任何财富,却许诺只要交钱入会,会发展人员就能获取“回报”,请提高警惕。

2.克服贪欲,不要幻想“一夜暴富”。如果抱着侥幸心理参与其中,最终只会落得血本无归、倾家荡产,甚至走向犯罪的道路。

十、安全使用 WI-Fi 的方法

1.勿见到免费 WI-Fi 就使用,要用可靠的 WI-Fi 接入点,关闭手机和平板电脑等设备的无线网络自动连接功能,仅在需要时开启;

2.警惕公共场所免费的无线信号为不法分子设置的钓鱼陷阱,尤其是一些和公共场所内已开放的 WI-Fi 同名的信号。在公共场所使用陌生的无线网络时,尽量不要进行与资金有关的银行转账与支付;

3.修改无线路由器默认的管理员用户和密码,将家中无线路由器的密码设置得复杂一些,并采用强密码,最好是字母、数字和特殊符号的组合;

4.无人使用时,关闭无线路由器电源。

十一、保证使用智能手机安全的方法

1.为手机设置访问密码是保护手机安全的第一道防线,以防智能手机丢失时,犯罪分子可能会获得通讯录、文件等重要信息并加以利用;

2.不要轻易打开陌生人通过手机发送的链接和文件;

3.为手机设置锁屏密码,并将手机随身携带;

4.在 QQ、微信等应用程序中关闭地理定位功能,并仅在需要时开启蓝牙;

5.常为手机数据做备份;

6.装安全防护软件,并经常对手机系统进行扫描;

7.权威网站下载手机应用软件,并在安装时谨慎选择相关权限;

8.不要试图破解自己的手机,以保证应用程序的安全性。

十二、保护手机支付安全的方法

建议手机支付客户端与手机绑定,使用数字证书,开启实名认证;

最好从官方网站下载手机支付客户端和网上商城应用;

使用手机支付服务前,按要求在手机上安装专门用于安全防范的插件;

登陆手机支付应用、网上商城时,勿选择“忘记密码”选项;

经常查看手机任务管理器,检查是否有恶意程序在后台运行,并定期使用手机安全系统软件扫描手机系统;

无论以何种理由要求你把资金打入陌生人账户、安全账户的行为都是诈骗犯罪。切勿上当受骗!

十三、网络诈骗类型辨别方法

1.利用 QQ 盗号和网络游戏交易进行诈骗,冒充好友借钱;

2.网络购物诈骗,收取订金骗钱;

3.网上中奖诈骗,指犯罪分子利用传播软件随意向互联网 QQ 用户、邮箱用户、网络游戏用户、淘宝用户等发布中奖提示信息;

4.“网络钓鱼”诈骗,利用欺骗性的电子邮件和伪造的互联网站进行诈骗活动,获取受骗者财务信息进而窃取资金;

十四、防范网络虚假、有害信息方法

1.及时举报类似谣言信息;

2.不造谣,不信谣,不传谣;

3.要注意辨别信息的来源和可靠度,要通过经第三方可信网站认证的网站获取信息;

4.要注意打着“发财致富”“普及科学”,传授“新技术”等幌子的信息;

最后再补充一下,现在国家大力发展网络安全,特别是中小企业特别需要网络安全方面的人才,为什么呢?黑帽黑客大企业不敢渗透,渗透中小企业去了,所以中小企业更需要这方面的人才去防御。

学习网络安全的小伙伴们,为了帮助到大家,我也整理了一些学习视频、全套工具包、应急响应等包括市面上很全面的资料文档,我这里都有了,这份完整版的网安学习资料已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】

 


http://www.ppmy.cn/news/98799.html

相关文章

redis复制机制

文章目录 1. Redis 复制机制2. 基本命令3. 修改配置文件4. 代码案例4.1 一主二仆4.2 薪火相传4.3 反客为主 5. Redis复制工作流程6. Redis 复制的缺点 1. Redis 复制机制 概念 : Redis 复制机制 能干的活 : 读写分离 : 写 就找 主机 master , 读就找从机…

使用FSL对DTI数据进行预处理

使用FSL对DTI数据进行预处理 一、topup处理二、eddy处理一、topup处理 为了校正磁场引起的畸变,对DTI的B0像分别采集了A>P和P>A的反向编码的两种B0像。利用AP和PA图像进行一个topup处理,校正畸变。 1、 使用dcm2niix将AP PA图像转为nii格式 假设转换后的图像为sub01_…

《数据库应用系统实践》------ 超市管理系统

系列文章 《数据库应用系统实践》------ 超市管理系统 文章目录 系列文章一、需求分析1、系统背景2、 系统功能结构(需包含功能结构框图和模块说明)3.系统功能简介 二、概念模型设计1.基本要素(符号介绍说明&#xff…

Collections提供的同步包装方法

Java同步容器类是通过synchronized(内置锁)来实现同步的容器,比如Vector、 HashTable以及SynchronizedList等容器。 线程安全的同步容器类主要有: Vector、 Stack、 HashTable等。 Collections提供的同步包装方法 Java提供一组包…

JS中this的指向

JS中this的指向 本文目录 JS中this的指向全局上下文(Global Context)函数上下文(Function Context)普通函数调用作为对象的方法调用构造函数调用箭头函数回调函数 事件处理器上下文(Event Handler Context)…

【Android笔记104】Android之壁纸管理器(WallpaperManager)的使用

这篇文章,主要介绍Android之壁纸管理器(WallpaperManager)的使用。 目录 一、壁纸管理器(WallpaperManager) 1.1、壁纸管理器介绍

【C++初阶】类和对象(下)之友元 + 内部类 + 匿名对象

👦个人主页:Weraphael ✍🏻作者简介:目前学习C和算法 ✈️专栏:C航路 🐋 希望大家多多支持,咱一起进步!😁 如果文章对你有帮助的话 欢迎 评论💬 点赞&#x1…

2023.05.28 学习周报

文章目录 摘要文献阅读1.题目2.现有方法存在的局限性3.SR-GNN模型4.模型的组成部分4.1 构图4.2 item向量表示4.3 session向量表示4.4 预测模块 5.实验与分析5.1 数据集5.2 比较方法5.3 评估指标5.4 实验结果 6.结论 有限元法1.一个例子2.进一步 深度学习1.张量场2.对流-扩散方程…