批量挖漏洞竟如此简单,你上你也行

好久不发文了,难道信安之路断了?哈哈,开玩笑,信安之路一直存在,只是在别的地方继续分享,公众号就耽搁了,后面还是会继续分享所学所感的,请大家放心。

这段时间一直在搞批量漏洞发现的事儿,之前也开了三期公益 SRC 实战训练营,积累了一些不错的内容,但是不宜大范围传播,所以有兴趣的可以加入信安之路(注册平台、加入星球)都可以查看该内容,三期的大纲如图:

批量挖漏洞竟如此简单,你上你也行

在此期间,我们也成立了新的 SRC 小分队,在这里也收一拨人,如果你满足补天排名 Top 2000 都可以加入我们这个小分队,一起交流挖洞心得,学习挖洞技术,当然如果你是小分队的一员,加入信安之路的知识星球可以享受五折优惠。

批量挖漏洞竟如此简单,你上你也行

接下来我们一起回顾一下批量挖洞的流程和涉及到的技术能力要求。

第一步:信息收集

在批量刷洞之前,你首先要确定目标范围,如果你是在做渗透测试工作,一定会先给你一个目标列表或者单个目标网站,然后作为起始点,进行扩散,然后进一步渗透,信息收集的结果决定了你的测试面有多大,批量漏洞发现是个概率事件,单个系统出现漏洞的可能性可能是百分之一,如果你发现了一千个系统,那么很大可能,你可以发现十个漏洞,所以信息收集是成功挖到漏洞的第一步重要操作。

这里主要涉及资产信息收集的技术,资产主要包括 IP、域名(主域名、子域名),这里推荐一个工具 subfinder,在有各大平台 API KEY 的前提下,不到三十秒即可收集一份比较全的子域名信息;另外一种方式是 DNS 枚举,可以自己实现,也可以使用开源的工具,这类工具非常多;如果你不想这么麻烦,那么可以尝试使用 oneforall,只不过需要花费的时间很多,如果是针对单个目标,没啥问题,如果是几十,上百,上千的目标,那么需要花费的时间就得以天,月来记了。

第二步:服务探测

有了大量域名之后,我们需要知道这些域名对应的系统开放了哪些服务(这里可以使用 masscan 和 nmap 的结合来提升速度和准确度)比如数据库服务、HTTP 服务等,针对非 HTTP 服务,可以进行一些暴力枚举的测试,发现一些弱口令的问题,而 HTTP 服务是漏洞的重灾区,也是后面最重要的漏洞发现途径。弱口令扫描可以使用 goby,提供的暴力枚举的模块,如图:

批量挖漏洞竟如此简单,你上你也行

接下来是针对 HTTP 服务的信息收集,主要收集 header 信息、body 内容,然后提取 title 字段和网页链接,这里的技术实现可以自己编写脚本,也可以使用开源的工具,我们训练营的这类实现都是以脚本的形式提供,单一功能,单一脚本实现,速度比较快,操作难度比较低,最终会得到大量网站的 header 信息,title 内容、链接列表和原始的 body 内容,这些信息都会在后面的漏洞发现时使用。

第三步:漏洞探测

1、针对带参数的链接进行漏洞测试

传统的扫描器,核心是爬虫加漏洞扫描的模式,我们通过之前的信息收集,收集到一个链接的列表,然后将列表中带参数的链接提取出来(带有 ?好和 = 号的链接),然后使用 xray 进行扫描,命令:

xray.exe webscan –uf linklist.txt –ho xray-vul.html

使用 xray 之前需要先修改配置文件,针对这类链接的测试,主要检测的漏洞包括:sql 注入、xxs、ssrf 等,根据自己的需求来配置。

2、针对通用组件和 CMS 进行 POC 检测

互联网上的网站,很大一部分都使用了通用的组件和开源或者商业的 CMS,这类系统,通过传统的漏洞扫描模式无法直接探测出漏洞,但是历史上有很多直接提供的漏洞测试方法,这些都被沉淀为 POC,可以直接使用,使用之前,首先要能识别出那些系统使用了哪个框架或者组件,这是 POC 检测的第一步,否则,你会花大量时间在无意义的漏洞探测中。

比如 WordPress,它是一个知名的开源博客系统,有很多人在为它开发插件,程序本身,目前漏洞比较少,而插件漏洞会比较多,所以首先要识别出那些网站是基于 WordPress 的,然后它使用了哪些插件,然后根据插件去寻找历史漏洞和 POC 进行测试,这个过程走起来比较麻烦,你也可以直接识别出 WordPress 系统,然后使用跟 WordPress 相关的漏洞 POC 进行检测,一旦遇到合适的,漏洞就发现了。

POC 及 POC 验证工具,推荐使用 xray 和 nuclei 两款软件,使用起来很不错的,最近我在搞一百个通用组件的漏洞实战计划,目前更新到 14 个,目标 100 个:

批量挖漏洞竟如此简单,你上你也行

通过这种方式还是发现了不少漏洞,如图:

批量挖漏洞竟如此简单,你上你也行

当你信息收集的足够全面,你也可以发现很多漏洞,这都不是事儿。

3、针对非通用系统进行漏洞探测

搞完 Nday 之后,很多原创的系统怎么去找漏洞?手工一个一个去做是可以的,但是消耗的时间会非常多,比如常规的 sql 注入、xss 等漏洞完全可以自动化解决,那么可以使用 rad + xray,或者 crawlergo + xray 的方式来实现自动化触发漏洞扫描,实现批量自动化挖洞,啥也不用管,让他自己去发现就可以了,剩下的就是早上醒来收漏洞即可。

4、手工测试工具无法自动化的漏洞

自动化能解决一切吗?当然不可以,首先自动化,无法实现每个系统登录之后的漏洞测试,也无法实现针对业务逻辑漏洞的检测,这些问题还是需要人工参与才可以,那么可以实现人工结合工具,实现半自动化挖洞,人去发现工具发现不了的问题,比如逻辑问题,而工具去发现他能发现的问题,比如 sql 注入、xss、ssrf 等。涉及的技术就是 burp + xray 的联动,然后结合你自己的逻辑漏洞的挖掘方法。

总结

以上就是整个漏洞挖掘的过程,如果你感觉实现起来比较难,想要看一下成熟的经验和操作指南,欢迎加入信安之路,注册成长平台和加入知识星球都可以成为信安之路的一员,如果你已经是挖洞高手,且在补天有一定名次,也欢迎加入信安之路的 SRC 小分队,成为我们中的一员,一起交流学习。

发表评论

登录后才能评论
联系客服
联系客服
分享本页
返回顶部