2024漏洞挖掘經(jīng)驗分享

漏洞挖掘經(jīng)驗分享目錄1、戰(zhàn)前準備2、了解SRC3、信息收集4、關于漏掃5、關于工具6、關于插件7、漏洞技巧戰(zhàn)前準備挖SRC好比是一場一對多的較量，對手是研發(fā)測試運維安全等人員，也是跟自己打一場持久戰(zhàn)。挖洞難在你選的目標不知道被多少人挖過，反反復復一輪又一輪。挖洞容易在產(chǎn)品系統(tǒng)在不斷的更新迭代，誰也不敢說自己完整的測過每一個功能點。心態(tài)很重要。了解目標SRC1、首先是評分標準，不同SRC的評分標準是不一樣的，先看哪些漏洞類型會被忽略處理，以免浪費時間。2、其次是授權測試范圍，盡量不要超出范圍測試，很大可能做無用功，還冒非法測試的風險。3、遵循安全測試規(guī)范，比如發(fā)現(xiàn)SQL注入不能拖庫，讀取數(shù)據(jù)庫名即可。4、最后看看禮品，有沒有值得兌換的，啥時候發(fā)貨。信息收集1、什么是信息收集、信息收集的重要性、具體怎么搞可以上FreeBuf和先知社區(qū)搜索文章2、信息收集的目標：目標子域名、IP端口、系統(tǒng)服務、框架組件、產(chǎn)品業(yè)務、APP、公眾號、小程序等3、半自動化思路：腳本工具收集子域名->合并去重驗證有效性->識別網(wǎng)站“指紋”信息->截取屏幕快照->獲取IP->掃描開放端口及服務->輸出資產(chǎn)偵察燈塔系統(tǒng)關于漏掃面對眾多站點，怎么開始下手，先漏掃看能不能找到突破口，看看有沒有開放危險端口，有沒有使用含有歷史漏洞的系統(tǒng)、框架組件。不要將希望過多寄托在漏掃，除非你的掃描器更牛逼。關于掃描1、很多新手白帽喜歡直接用重量級工具掃，比如AWVS，不僅費時還容易被封IP。這里推薦先用BBScan掃下，當然大多時候是發(fā)現(xiàn)不了什么問題。2、路徑掃描，對于一些403、404等沒有內容的站點，爆破API接口、端點、路徑會有意想不到的收獲。3、掃描端口，直接掃1-65535個端口是非常粗暴的。目標小的話還可以，量大的話建議掃常用的幾百個端口就行。4、去重，像掃58子域名的話，有很多以城市拼音作為子域名。每個都掃的話有點重復勞動力，可以先使用腳本去除掉城市子域名相信自己大多新手認為大佬挖洞使用了很多奇淫巧技，自己挖不到是因為掌握的技巧不夠多。我認為是不夠細心和自我否定。就潛意識里認為漏洞都被大佬挖完了、這里不會存在這么簡單的漏洞，從而說服自己不去嘗試。勇于嘗試目標選擇沒有掃描出突破口，選哪些站點進行測試0、優(yōu)先選擇第三方系統(tǒng)，看是否含有歷史漏洞直接秒。1、然后是能注冊的后臺系統(tǒng)。后臺系統(tǒng)功能多，越權漏洞重點測。2、其次是能注冊的用戶系統(tǒng)。里面業(yè)務多，每個功能點走一遍。3、沒有賬號的系統(tǒng)，弱口令、未授權訪問接口、密碼重置漏洞想方設法進后臺。關于工具工具可以提高工作效率，不能不利用工具也不能只會利用工具。信息收集：域名掃描（OneForAll）、IP端口探測（Nmap）、敏感文件路徑掃描(BBScan、dirsearch)、git源碼掃描(github-search)、網(wǎng)站指紋識別(WhatWeb)、框架組件信息（wappalyzer）漏洞挖掘：抓包（BurpSuite）、弱口令爆破(hydra)、漏洞庫（CVE/SeeBug）、payload合集（PayloadsAllTheThings）資產(chǎn)監(jiān)控：XSS平臺、dnslog平臺、Git泄露監(jiān)控、app更新監(jiān)控、域名端口變更監(jiān)控、產(chǎn)品業(yè)務輿情監(jiān)控關于插件BurpSuite集成了很多工具，也可以自己研發(fā)插件。越權測試：Autorize日志插件：Logger++個性化掃描器：BurpBountyAutorize下載安裝后，Burp上會有Autorize的選項卡。Configuration選項里會有默認配置，可以自行配置。將低權限的賬號認證信息（cookie/token）復制到文本框。配置攔截器，過濾掉靜態(tài)資源文件以及不屬于測試目標的URL。瀏覽器配置代理將流量傳遞給Burp，插件運行后會自動執(zhí)行檢查授權。左側顯示請求的URL和執(zhí)行狀態(tài)，紅色意味存在越權，綠色意味不存在越權，黃色意味不確定。是否存在越權是根據(jù)替換認證信息，然后對比響應長度來判斷的。如果請求的內容，高權限和低權限響應的長度一致表示不存在權限校驗，刪除認證信息也響應一致表示存在未授權訪問漏洞?？梢灾付ㄌ囟ǖ腢RL查看原始/修改/未授權的請求/響應，對比差異。Logger++Logger++是BurpSuite的多線程日志記錄擴展。除了記錄來自所有BurpSuite工具的請求和響應之外，該擴展還允許定義高級過濾器。內置的grep工具允許搜索日志,為了使日志可以在其他系統(tǒng)中使用，該表也可以上載到elasticsearch或導出到CSV。篩選請求Request.BodyCONTAINS“test”(篩選出請求頭中含有test字符串)Response.InferredTypeIN[“JSON”,“HTML”,“XML”](篩選滿足條件的響應內容類型)Request.PathMATCHES“/api/(account|payments)/.*”(篩選請求路徑中滿足正則的請求)自定義正則匹配，給滿足要求的請求上色。

1、高亮顯示響應中存在郵箱、手機號、身份證號的請求。（重點關注含敏感信息的請求）

2、高亮顯示Cookie中出現(xiàn)RememberMe等字樣的請求。（可能使用了含有漏洞的Shiro組件）

3、高亮顯示響應標題中含有“Indexof/”的請求。（表示存在列目錄漏洞）

BurpBounty簡單地通過圖形界面?zhèn)€性化規(guī)則來改進主動和被動burpsuite掃描器。通過對模式的高級搜索和對要發(fā)送的有效負載的改進，我們可以在主動掃描器和被動掃描器中自定義Issue。BurpBounty自定義插件面板漏洞技巧-日常積累新手白帽挖了一個列目錄漏洞，但可惜列出來的是靜態(tài)資源文件。你會怎么做？漏洞技巧-日常積累當然是不出高危不罷休。nginx目錄穿越漏洞，列出了網(wǎng)站源碼和配置文件。漏洞技巧-活學活用之前參加眾測加入項目晚了，快結束的時候還是挖到了shiro反序列化漏洞，賞金8k。大家都知道shiro的一個特征，cookieName是rememberMe，但cookieName不是一成不變的，我挖的這個shiro反序列化漏洞的cookieName是rememberMe