2024漏洞挖掘经验分享.pptx

漏洞挖掘经验分享

目录

1、战前准备

2、了解SRC

3、信息收集

4、关于漏扫

5、关于工具

6、关于插件

7、漏洞技巧

战前准备

挖SRC好比是一场一对多的较量，对手是研发测试运维安全等人员，也是跟自己打一场持久战。

挖洞难在你选的目标不知道被多少人挖过，反反复复一轮又一轮。

挖洞容易在产品系统在不断的更新迭代，谁也不敢说自己完整的测过每一个功能点。

心态很重要。

了解目标SRC

1、首先是评分标准，不同SRC的评分标准是不一样的，先看哪些漏洞类型会被忽略处理，以免浪费时间。

2、其次是授权测试范围，尽量不要超出范围测试，很大可能做无用功，还冒非法测试的风险。

3、遵循安全测试规范，比如发现SQL注入不能拖库，读取数据库名即可。

4、最后看看礼品，有没有值得兑换的，啥时候发货。

信息收集

1、什么是信息收集、信息收集的重要性、具体怎么搞可以上FreeBuf和先知社区有哪些信誉好的足球投注网站文章

2、信息收集的目标：目标子域名、IP端口、系统服务、框架组件、

产品业务、APP、公众号、小程序等

3、半自动化思路：

脚本工具收集子域名-合并去重验证有效性-识别网站“指纹”信息-截取屏幕快照-获取IP-扫描开放端口及服务-输出

资产侦察灯塔系统

关于漏扫

面对众多站点，怎么开始下手，先漏扫看能不能找到突破口，看看有没有开放危险端口，有没有使用含有历史漏洞的系统、框架组件。

不要将希望过多寄托在漏扫，除非你的扫描器更牛逼。

关于扫描

1、很多新手白帽喜欢直接用重量级工具扫，比如AWVS，不仅费时还容易被封IP。这里推荐先用BBScan扫下，当然大多时候是发现不了什么问题。

2、路径扫描，对于一些403、404等没有内容的站点，爆破API接口、端点、路径会有意想不到的收获。

3、扫描端口，直接扫1-65535个端口是非常粗暴的。目标小的话还可以，量大的话建议扫常用的几百个端口就行。

4、去重，像扫58子域名的话，有很多以城市拼音作为子域名。每个都扫的话有点重复劳动力，可以先使用脚本去除掉城市子域名

相信自己

大多新手认为大佬挖洞使用了很多奇淫巧技，自己挖不到是因为掌握的技巧不够多。我认为是不够细心和自我否定。

就潜意识里认为漏洞都被大佬挖完了、这里不会存在这么简单的漏洞，从而说服自己不去尝试。

勇于尝试

目标选择

没有扫描出突破口，选哪些站点进行测试

0、优先选择第三方系统，看是否含有历史漏洞直接秒。

1、然后是能注册的后台系统。后台系统功能多，越权漏洞重点测。

2、其次是能注册的用户系统。里面业务多，每个功能点走一遍。

3、没有账号的系统，弱口令、未授权访问接口、密码重置漏洞想方设法进后台。

关于工具

工具可以提高工作效率，不能不利用工具也不能只会利用工具。

信息收集：域名扫描（OneForAll）、IP端口探测（Nmap）、敏感文件路径扫描(BBScan、dirsearch)、git源码扫描(github-search)、网站指纹识别(WhatWeb)、框架组件信息（wappalyzer）

漏洞挖掘：抓包（BurpSuite）、弱口令爆破(hydra)、漏洞库（CVE/SeeBug）、payload合集（PayloadsAllTheThings）

资产监控：XSS平台、dnslog平台、Git泄露监控、app更新监控、域名端口变更监控、产品业务舆情监控

关于插件

BurpSuite集成了很多工具，也可以自己研发插件。

越权测试：Autorize

日志插件：Logger++

个性化扫描器：BurpBounty

Autorize

下载安装后，Burp上会有Autorize的选项卡。

Configuration选项里会有默认配置，可以自行配置。

将低权限的账号认证信息（cookie/token）复制到文本框。

配置拦截器，过滤掉静态资源文件以及不属于测试目标的URL。

浏览器配置代理将流量传递给Burp，插件运行后会自动执行检查授权。

左侧显示请求的URL和执行状态，红色意味存在越权，绿色意味不存在越权，黄色意味不确定。

是否存在越权是根据替换认证信息，然后对比响应长度来判断的。如果请求的内容，高权限和低权限响应的长度一致表示不存在权限校验，删除认证信息也响应一致表示存在未授权访问漏洞。

可以指定特定的URL查看原始/修改/未授权的请求/响应，对比差异。

Logger++

Logger++是BurpSuite的多线程日志记录扩展。

除了记录来自所有BurpSuite工具的请求和响应之外，该扩展还允许定义高级过滤器。

内置的grep工具允许有哪些信誉好的足球投注网站日志,为了使日志可以在其他系统中使用，该表也可以上载到elasticsearch或导出到CSV。

筛选请求

Request.BodyCONTAINS“test”(筛选出请求头中含有test字符串)