0x01資訊收集

1、Google Hack實用語法 

迅速查找資訊洩露、管理後臺暴露等漏洞語法，例如：

filetype:txt 登录  
filetype:xls 登录  
filetype:doc 登录  
intitle:后台管理  
intitle:login
intitle:后台管理  inurl:admin  
intitle:index of /  


查找指定網站，再加上site:example.com，例如：

site:example.com filetype:txt 登录  
site:example.com intitle:后台管理
site:example.com admin
site:example.com login
site:example.com system
site:example.com 管理
site:example.com 登录
site:example.com 内部
site:example.com 系统  


關鍵字可以根據實際情況進行調整，推薦Google、Bing，蒐索內容如果被删除，網頁快照一般仍會有記錄。

2、Shodan、fofa網絡資產搜尋引擎 

Shodan、foda等網絡資產搜尋引擎可以用來蒐索網路空間中線上設備，功能十分强大，相當於網路安全界的google：

特別是超强搜尋引擎shodan，甚至可以根據logo査詢互聯網資產： 比如對某IP進行資訊檢索，點擊view raw data：

找到data.0.http.favicon.data欄位：

蒐索相應的值即可根據企業logo査詢資產：

http.favicon.hash:-1507567067  


推薦安裝shodan chrome挿件，方便進行查看和使用：

https:


fofa是國內的一款網路空間資產搜尋引擎，與shodan類似，常見蒐索語法：

title="abc" 从标题中搜索abc。例：标题中有北京的网站
header="abc" 从http头中搜索abc。例：jboss服务器
body="abc" 从html正文中搜索abc。例：正文包含Hacked by
domain="qq.com" 搜索根域名带有qq.com的网站。例： 根域名是qq.com的网站
host=".gov.cn" 从url中搜索.gov.cn,注意搜索要用host作为名称。例： 政府网站, 教育网站
port="443" 查找对应443端口的资产。例： 查找对应443端口的资产
...


實用查詢語句：

body="关键词1" && country=CN&&title="关键词2"  


可以快速定位國內想要蒐索的網站資訊。

3、子功能變數名稱收集 

推薦幾個好用的工具：

• JSFinder（https://github.com/Threezh1/JSFinder） 

JSFinder（https://github.com/Threezh1/JSFinder） 

在網站的JS檔案中，會存在各種對測試有幫助的內容，JSFinder可以幫助我們獲取到JS中的url和子功能變數名稱的資訊，拓展我們的滲透範圍。爬取分為普通爬取和深度爬取，深度爬取會深入下一層頁面爬取JS，時間會消耗的更長，流程如下：

• Sublist3r（https://github.com/aboul3la/Sublist3r） Sublist3r是一個python版工具，其設計原理是基於通過使用搜尋引擎，從而對站點子功能變數名稱進行列舉。Sublist3r現時支持以下搜尋引擎：Google，Yahoo，Bing，百度以及Ask，而未來將支持更多的搜尋引擎。現時，Sublist3r同樣也通過Netcraft以及DNSdumpster獲取子功能變數名稱。

Sublist3r（https://github.com/aboul3la/Sublist3r） Sublist3r是一個python版工具，其設計原理是基於通過使用搜尋引擎，從而對站點子功能變數名稱進行列舉。Sublist3r現時支持以下搜尋引擎：Google，Yahoo，Bing，百度以及Ask，而未來將支持更多的搜尋引擎。現時，Sublist3r同樣也通過Netcraft以及DNSdumpster獲取子功能變數名稱。

• 雲悉（http://www.yunsee.cn/info.html） 雲悉可以線上搜集子功能變數名稱、ip段、CMS指紋等資訊 

雲悉（http://www.yunsee.cn/info.html） 雲悉可以線上搜集子功能變數名稱、ip段、CMS指紋等資訊 

4、github敏感資訊洩露即時監控 

GSIL（GitHub Sensitive Information Leakage）項目，地址：https://github.com/FeeiCN/GSIL 

通過配寘關鍵字，即時監控github敏感資訊洩露情况，並發送至指定郵箱：

5、網盤搜尋引擎  

和github類似，網盤中往往會存在企業洩露的內部資訊，同樣需要關注，常見的網盤搜尋引擎： 盤多多：http://www.panduoduo.net/ 盤搜搜：http://www.pansoso.com/ 盤搜：http://www.pansou.com/ 淩雲風蒐索：https://www.lingfengyun.com/ 

6、注意公眾號、服務號、小程式、APP  

企業的微訊號、服務號、小程式、APP會幫助我們拓展攻擊面，部分應用入口web中並沒有，需要從公眾號、小程式、APP入手，公眾號中甚至會有企業用於測試的公眾號、服務號，這些資訊需要重點關注：

7、注册非普通用戶（商戶、企業用戶等等） 

商戶、企業用戶註冊一般需要提交多個資料：營業執照、企業證件號等等，比較繁瑣：

但不要因為麻煩放弃，此類用戶由於注册難，意味著測試的人員少，往往漏洞比較多。部分平臺稽核不嚴，很多情况下提供資料注册即可通過或簡單電話驗證即可通過。

想辦法提供各類資料注册（網上購買營業執照、公開資訊收集、PS） 想辦法獲取到帳號（撞褲、文庫、QQ群、github洩漏等） 借帳號/租帳號/買帳號

0x02微信公眾號抓包技巧

企業微信公眾號可以大大拓寬我們的測試範圍，公眾號部分連結可以直接複製到瀏覽器中打開，然後按照常規的滲透測試方法進行，但是有的連結複製到瀏覽器後，會出現下圖情况：

對於這種情況，可以通過安卓模擬器抓微信包、真機微信抓包的管道解决，但都相對不太方便，和大家分享通過SocksCap64直接抓微信PC端的流量方法。 

SocksCap64是一款功能非常强大的代理用戶端，支持http/https、socks4/5、TCP、UDP等協定，在內網滲透中經常使用，同樣可以用他來代理微信PC用戶端的流量，並將流量轉發至burp中，就可以進行抓包分析。 

首先還是在burp中設定監聽：

然後在SocksCap64中設定代理伺服器為burp的地址和埠，代理管道HTTP：

測試一下，是否成功：

然後利用SocksCap64啟動微信：

即可成功抓到微信PC端的流量：

0x03登錄介面思路

0x04簡訊&郵件轟炸繞過

在網站測試的過程中，常常在用戶註冊登入時出現手機號/郵箱註冊，這裡就可能出現簡訊&郵件炸彈漏洞，此類漏洞測試比較方便，雖然有的網站做了防護，但也有一些繞過的辦法。

這裡收集了部分現時較為流行的臨時接收短信的網站，方便用於測試：

https:

http:

https:

[国内] http:

[国外] http:

[国外] https:

[国外] https:

[国外] https:

http:

https:

[國內] http:

[國外] http:

[國外] https:

[國外] https:

[國外] https:

在應用手機號/郵箱和驗證碼作為用戶登錄憑證時，一般涉及到的網站功能點主要包括：

• 帳號注册 

帳號注册 

• 首次設置密碼時用戶身份校驗 

首次設置密碼時用戶身份校驗 

• 帳號登入 

帳號登入 

• 重置密碼 

重置密碼 

• 綁定手機/郵箱 

綁定手機/郵箱 

• 修改綁定手機/郵箱 

修改綁定手機/郵箱 

• 免費試用/活動領取/迴響處 

免費試用/活動領取/迴響處 

• …  

…  

常見的測試和繞過手段：

0x05邏輯漏洞

隨著開發人員安全意識的日益加强，IPS/IDS、WAF、全流量檢測等防護設備的不斷部署，傳統的SQL注入漏洞、命令執行等漏洞正變得越來越少，或者越來越難挖（需要繞過各種防禦設備）。但業務邏輯漏洞幾乎可以bypass一切傳統的安全防護設備，現時還沒有非常有效的防禦手段。同時，業務邏輯紛繁複雜，再資深的程式師也可能挖坑，所以只要基礎扎實，邏輯思維能力强，耐心細心，不放過任何一個步驟，此類漏洞比較容易挖。

1、修改返回包的越權 

場景1：修改手機號 

一般的修改邏輯為：認證原手機號->填寫新手機號->提交修改

如果在進行下一步操作時，沒有校驗上一步的認證是否成功時，就會存在邏輯缺陷繞過。 比如在第一步認證原手機號時，隨意輸入驗證碼，將response包中的相關欄位進行修改，比如0改成1，false改成true，即可繞過第一步驗證，進入填寫新手機號介面，如果第三步提交修改時沒有驗證第一步的結果，就會造成邏輯漏洞。

烏雲案例：

http://www.anquan.us/static/bugs/wooyun-2015-0120951.html

場景2：登入繞過 

部分網站的身份驗證放在了前端，囙此只需要將response包中的相關欄位進行修改，比如0改成1，false改成true，就可以登入任意用戶帳號。

烏雲案例：

http://www.anquan.us/static/bugs/wooyun-2015-0151201.html

2、水准越權 

場景1：遍歷ID 在一些請求中，GET或POST中有明顯的id數位參數（手機號、員工號、帳單號、銀行卡號、訂單號等等），可以嘗試進行遍歷，如果程式沒有對當前許可權進行判斷，就會存在水准越權問題。

烏雲案例：

http://www.anquan.us/static/bugs/wooyun-2016-0204958.html

場景2:ID替換 如果程式對用戶標識進行了hash或者加密，而又無法破解用的什麼加密管道的話，就無法通過遍歷ID來獲取其他用戶資訊了。此時可以嘗試注册兩個帳號，通過替換兩個ID加密後的值，判斷程式是否對許可權進行了驗證，如果沒有，也會存在越權問題。

3、垂直越權 

觀察cookie中的session欄位，猜測修改，發現： level=1:admin level=2:vip user level=3:normal user

說明，本教程文章僅限用於學習和研究目的，請勿用於非法用途。漏洞挖掘中應遵守SRC中的相關規則。