2024漏洞挖掘經(jīng)驗(yàn)分享

漏洞挖掘經(jīng)驗(yàn)分享目錄1、戰(zhàn)前準(zhǔn)備2、了解SRC3、信息收集4、關(guān)于漏掃5、關(guān)于工具6、關(guān)于插件7、漏洞技巧戰(zhàn)前準(zhǔn)備挖SRC好比是一場一對多的較量，對手是研發(fā)測試運(yùn)維安全等人員，也是跟自己打一場持久戰(zhàn)。挖洞難在你選的目標(biāo)不知道被多少人挖過，反反復(fù)復(fù)一輪又一輪。挖洞容易在產(chǎn)品系統(tǒng)在不斷的更新迭代，誰也不敢說自己完整的測過每一個功能點(diǎn)。心態(tài)很重要。了解目標(biāo)SRC1、首先是評分標(biāo)準(zhǔn)，不同SRC的評分標(biāo)準(zhǔn)是不一樣的，先看哪些漏洞類型會被忽略處理，以免浪費(fèi)時間。2、其次是授權(quán)測試范圍，盡量不要超出范圍測試，很大可能做無用功，還冒非法測試的風(fēng)險(xiǎn)。3、遵循安全測試規(guī)范，比如發(fā)現(xiàn)SQL注入不能拖庫，讀取數(shù)據(jù)庫名即可。4、最后看看禮品，有沒有值得兌換的，啥時候發(fā)貨。信息收集1、什么是信息收集、信息收集的重要性、具體怎么搞可以上FreeBuf和先知社區(qū)搜索文章2、信息收集的目標(biāo)：目標(biāo)子域名、IP端口、系統(tǒng)服務(wù)、框架組件、產(chǎn)品業(yè)務(wù)、APP、公眾號、小程序等3、半自動化思路：腳本工具收集子域名->合并去重驗(yàn)證有效性->識別網(wǎng)站“指紋”信息->截取屏幕快照->獲取IP->掃描開放端口及服務(wù)->輸出資產(chǎn)偵察燈塔系統(tǒng)關(guān)于漏掃面對眾多站點(diǎn)，怎么開始下手，先漏掃看能不能找到突破口，看看有沒有開放危險(xiǎn)端口，有沒有使用含有歷史漏洞的系統(tǒng)、框架組件。不要將希望過多寄托在漏掃，除非你的掃描器更牛逼。關(guān)于掃描1、很多新手白帽喜歡直接用重量級工具掃，比如AWVS，不僅費(fèi)時還容易被封IP。這里推薦先用BBScan掃下，當(dāng)然大多時候是發(fā)現(xiàn)不了什么問題。2、路徑掃描，對于一些403、404等沒有內(nèi)容的站點(diǎn)，爆破API接口、端點(diǎn)、路徑會有意想不到的收獲。3、掃描端口，直接掃1-65535個端口是非常粗暴的。目標(biāo)小的話還可以，量大的話建議掃常用的幾百個端口就行。4、去重，像掃58子域名的話，有很多以城市拼音作為子域名。每個都掃的話有點(diǎn)重復(fù)勞動力，可以先使用腳本去除掉城市子域名相信自己大多新手認(rèn)為大佬挖洞使用了很多奇淫巧技，自己挖不到是因?yàn)檎莆盏募记刹粔蚨唷Ｎ艺J(rèn)為是不夠細(xì)心和自我否定。就潛意識里認(rèn)為漏洞都被大佬挖完了、這里不會存在這么簡單的漏洞，從而說服自己不去嘗試。勇于嘗試目標(biāo)選擇沒有掃描出突破口，選哪些站點(diǎn)進(jìn)行測試0、優(yōu)先選擇第三方系統(tǒng)，看是否含有歷史漏洞直接秒。1、然后是能注冊的后臺系統(tǒng)。后臺系統(tǒng)功能多，越權(quán)漏洞重點(diǎn)測。2、其次是能注冊的用戶系統(tǒng)。里面業(yè)務(wù)多，每個功能點(diǎn)走一遍。3、沒有賬號的系統(tǒng)，弱口令、未授權(quán)訪問接口、密碼重置漏洞想方設(shè)法進(jìn)后臺。關(guān)于工具工具可以提高工作效率，不能不利用工具也不能只會利用工具。信息收集：域名掃描（OneForAll）、IP端口探測（Nmap）、敏感文件路徑掃描(BBScan、dirsearch)、git源碼掃描(github-search)、網(wǎng)站指紋識別(WhatWeb)、框架組件信息（wappalyzer）漏洞挖掘：抓包（BurpSuite）、弱口令爆破(hydra)、漏洞庫（CVE/SeeBug）、payload合集（PayloadsAllTheThings）資產(chǎn)監(jiān)控：XSS平臺、dnslog平臺、Git泄露監(jiān)控、app更新監(jiān)控、域名端口變更監(jiān)控、產(chǎn)品業(yè)務(wù)輿情監(jiān)控關(guān)于插件BurpSuite集成了很多工具，也可以自己研發(fā)插件。越權(quán)測試：Autorize日志插件：Logger++個性化掃描器：BurpBountyAutorize下載安裝后，Burp上會有Autorize的選項(xiàng)卡。Configuration選項(xiàng)里會有默認(rèn)配置，可以自行配置。將低權(quán)限的賬號認(rèn)證信息（cookie/token）復(fù)制到文本框。配置攔截器，過濾掉靜態(tài)資源文件以及不屬于測試目標(biāo)的URL。瀏覽器配置代理將流量傳遞給Burp，插件運(yùn)行后會自動執(zhí)行檢查授權(quán)。左側(cè)顯示請求的URL和執(zhí)行狀態(tài)，紅色意味存在越權(quán)，綠色意味不存在越權(quán)，黃色意味不確定。是否存在越權(quán)是根據(jù)替換認(rèn)證信息，然后對比響應(yīng)長度來判斷的。如果請求的內(nèi)容，高權(quán)限和低權(quán)限響應(yīng)的長度一致表示不存在權(quán)限校驗(yàn)，刪除認(rèn)證信息也響應(yīng)一致表示存在未授權(quán)訪問漏洞。可以指定特定的URL查看原始/修改/未授權(quán)的請求/響應(yīng)，對比差異。Logger++Logger++是BurpSuite的多線程日志記錄擴(kuò)展。除了記錄來自所有BurpSuite工具的請求和響應(yīng)之外，該擴(kuò)展還允許定義高級過濾器。內(nèi)置的grep工具允許搜索日志,為了使日志可以在其他系統(tǒng)中使用，該表也可以上載到elasticsearch或?qū)С龅紺SV。篩選請求Request.BodyCONTAINS“test”(篩選出請求頭中含有test字符串)Response.InferredTypeIN[“JSON”,“HTML”,“XML”](篩選滿足條件的響應(yīng)內(nèi)容類型)Request.PathMATCHES“/api/(account|payments)/.*”(篩選請求路徑中滿足正則的請求)自定義正則匹配，給滿足要求的請求上色。

1、高亮顯示響應(yīng)中存在郵箱、手機(jī)號、身份證號的請求。（重點(diǎn)關(guān)注含敏感信息的請求）

2、高亮顯示Cookie中出現(xiàn)RememberMe等字樣的請求。（可能使用了含有漏洞的Shiro組件）

3、高亮顯示響應(yīng)標(biāo)題中含有“Indexof/”的請求。（表示存在列目錄漏洞）

BurpBounty簡單地通過圖形界面?zhèn)€性化規(guī)則來改進(jìn)主動和被動burpsuite掃描器。通過對模式的高級搜索和對要發(fā)送的有效負(fù)載的改進(jìn)，我們可以在主動掃描器和被動掃描器中自定義Issue。BurpBounty自定義插件面板漏洞技巧-日常積累新手白帽挖了一個列目錄漏洞，但可惜列出來的是靜態(tài)資源文件。你會怎么做？漏洞技巧-日常積累當(dāng)然是不出高危不罷休。nginx目錄穿越漏洞，列出了網(wǎng)站源碼和配置文件。漏洞技巧-活學(xué)活用之前參加眾測加入項(xiàng)目晚了，快結(jié)束的時候還是挖到了shiro反序列化漏洞，賞金8k。大家都知道shiro的一個特征，cookieName是rememberMe，但cookieName不是一成不變的，我挖的這個shiro反序列化漏洞的cookieName是rememberMe