前言:前段时间挖了一两周,挖了不少奖金挺高的漏洞,主要是运气比较好,总结一下,胆大心细找准方向。
找准目标
主要找资产多,奖金高的企业,比如几家大厂,或者小众但是奖金比较高的企业。大厂虽然难挖,但是耐不住资产太多,总会存在漏洞。
持续挖掘
认准一两个SRC之后,坚持挖下去,逐渐摸清楚该企业的组织架构、资产范围、账号权限认证体系等等,磨刀不误砍柴工,摸清楚之后,再持续的挖掘下去,会发现企业更多可能存在问题的点。
挖掘方向
目前各大企业中,对于常见的SQL注入、XSS这类漏洞的防范还是做的比较好的,业务在上线前都会做充足的审查,所以我们主要挖掘的方向可以放在以下几点:
-
逻辑漏洞
-
信息泄露
-
未授权/越权
这几种漏洞是我在漏洞挖掘过程中碰到的最多的,其他类似于ssrf、xss、文件上传漏洞碰到的也有,但是最好挖最之前的漏洞,还是上面说的这几个。
信息收集
信息收集应该是漏洞挖掘中最重要的一环了,渗透测试的本质就是信息收集,想多挖洞的前提也是做好充足的信息收集,包括企业的组织架构、子域名、IP段、新媒体(公众号、小程序)等等
-
IP段:根据收集到的域名解析情况,再通过VT、FOFA等收集到的所有IP汇总整理出企业所使用的主要IP段,我这里有一个脚本方便整理——IP_DOMAIN_TOOL
-
新媒体:微信直接搜、小蓝本
-
其他:Google语法、GitHub语法、dirsearch、御剑
胆大
对阿里、腾讯、百度、京东之类的大厂,大胆的去测试就OK了(注意测试边界),就拿阿里云、腾讯云来说,完全不用害怕,业务那么复杂,漏洞是肯定存在的,就看你能不能发现了。
心细
像阿里云、腾讯云之类的系统,注入、xss肯定是相当少甚至可能没有了,所以这时候的挖掘重点就应该是基于业务的逻辑、越权、信息泄露之类的漏洞了,不要放过每一个数据包,不要放过任何一个数据包。
另外,小程序和APP可以多看一看,web端可能被大佬们看的差不多了,感觉小程序和APP还有的搞。
工欲善其事必先利其器
各种各样的工具一定要准备好并熟练使用,Burp的各种信息泄露发现插件、各种漏洞的被动检测插件等等。
联想
了解到一些大佬们的批量刷洞,主要还是通过系统化的例如灯塔之类的信息收集系统+xray之类的扫描器批量刷洞,核心还是信息收集和漏洞扫描。
不过和手工的区别就是,批量刷洞在于量大,或许有的系统中存在一些漏洞没扫描出来,但是耐不住量大,找到一些潜在的可能存在漏洞的点,再去手工做测试,效率会快很多。