新手零基础挖漏洞攻略,看完这篇就够了
建议至少得有web安全基础,了解owasptop10原理,厉害的大佬除外,当我没说。
0x00 前言
大家好,我是来自蚁景的老王。趁着安全客推荐的平台活动,尝试了三天漏洞挖掘,运气不错,挖到了几个漏洞,也因此结识了 SRC 年度榜一榜二的大师傅,受益匪浅。
这篇文章是一些入门心得,希望能帮到刚开始接触 SRC 的朋友。
0x01 心态
SRC其实就是一场“多人博弈”,你面对的不只是研发、测试、运维和安全人员,更是在和自己较劲。因为只要有新功能上线,Web应用就很可能埋下漏洞。
挖洞的过程注定不会一帆风顺,可能连续好几天都找不到收获,这时候心态就很关键。只要你能调整好节奏,始终相信自己,坚持下去,就一定能积累成果,哪怕只是小小的突破。
0x02 SRC的入坑潜规则
什么是SRC?
SRC,全称 Security Response Center,即安全应急响应中心。目前各大厂商基本都有自己的安全应急响应平台,而在市面上也能找到不少这样的入口。例如安全客就整理收录了大量相关链接,这里必须夸一句,大爱安全客。
1.了解你所要提交的SRC平台规则和要求,不同的平台给出的评分标准不同举个例子,有些网站根本不接受反射型 XSS 漏洞,如果你还在那上面死磕,只能白白浪费时间。所以第一步一定是仔细阅读平台给出的漏洞评分标准。
``
2.详细阅读测试范围,不要超出,会有非法测试的风险!SRC 平台一般都会发布规定的众测任务,并且会限定允许测试的域名。
超出范围的目标,就算你挖到漏洞也不会被审核通过,还可能涉及非法测试的风险,这一点一定要牢记!
``
3.遵循安全测试规范,比如SQL注入会有要求,哪些东西不能读取,最多读取多少条 SQL注入可不要脱裤啊!否则很可能就要请你去喝茶了!这已经不是技术层面的问题,而是原则性问题,一定要记住! 4.看礼品啊!!有些平台不仅有赏金,礼品也特别丰厚,简直让人心动,嘿嘿!0x03 第一步 信息收集
在确认清楚域名范围之后,就得对这些域名做信息收集了,不然连要测的网站都搞不清楚,那还怎么继续下去呢。
这时候可以用一些在线的子域名收集工具(种类很多,可以自己去搜,挑最顺手的就好),或者用子域名挖掘机这类软件。在各大安全论坛和社区里也有不少相关的学习资料,我当时就是在安全客上学到了很多,真的收获满满哈哈!
但信息收集可不仅仅是子域名这么简单,更关键的是网段和扩展域名的获取。那扩展域名该怎么找呢?我常用的方式有两种,一是通过域名的 whois 信息,利用注册人或联系邮箱去挖掘,二是从网页的 html 源码里找线索。
至于 IP 段,也不是收集完就算结束,而是要根据 IP 的分布来划分核心段、边缘段、云服务段等等。同时还得搞清楚目标厂商在开发上偏好什么框架,这点甚至可以从他们的招聘页面看出端倪,说不定还能发现惊喜。
在边缘段里,往往会存在不少测试环境的机器,而这些测试机正是突破口之一。因为测试机通常不会关闭 debug 功能,而且后台登录用的账号往往就是弱口令,这就很容易被利用。
0x04 第二步 漏洞挖掘
在漏洞挖掘时,要结合平台给出的评分标准来进行。
常见的漏洞类型包括:XSS、SQL 注入、CSRF、权限绕过、文件上传、弱口令、代码执行等。
切记不要盲目贪多,想着把所有类型都一股脑去测,结果往往是什么都没挖到。更合理的方式是按顺序、逐项地去尝试,这样更有收获。
漏洞挖掘 1 – – – – 漏洞扫描器
关于漏洞挖掘过程中的扫描器使用问题:
网上有不少漏洞扫描器,比如 AWVS、AppScan 这类功能强大的重型扫描器。不过要注意,很多网站都有防护措施,例如安居客、58 同城等,使用这些扫描器很可能很快就会被封 IP,不划算。而且,重型扫描器在部分情况下还可能对目标网站造成影响,所以使用时务必谨慎。
推荐的话,可以使用 BBScan 这种轻量级扫描器。重点放在路径扫描,例如检查是否存在 403、404 页面,或者尝试爆破 API 接口、各类路径。尽管扫描器功能强,但仍不建议过度依赖,亲自手工测试往往更可靠,也更能培养对漏洞的敏感度。
漏洞挖掘 2 – – – – 常用工具
在和漏洞贡献榜榜一榜二大佬的聊天中,他们都不怎么使用扫描器去进行测试。这里给大家推荐两个工具:
第一:BURPSUITE
(浏览器推荐Chorme 和Firefox浏览器 可以使用很多代理插件 我喜欢SwitchyOmega)
burp上可以添加很多插件实现不同的功能(玩的好也可以和xray实现自动化漏扫)
抓包改包很是方便,重放和密码爆破各种功能==神器无疑。
第二: Fiddler
Fiddler在进行并发测试的时候很舒服!!
自行体验吧 功能和burp各有千秋!!
就这两大工具会用就非常厉害了!!!
漏洞挖掘 3 – – – – 入手点
在开始测试时,要对提交表单特别敏感,例如意见反馈、文件上传等入口,以及一些功能点,比如付款金额校验、修改密码的 sign 值等。这些都是容易出现漏洞的地方。新手不要只盯着 HTML 代码看,更重要的是理解 HTTP 协议层的请求与响应,可以重点关注数值溢出、接口调用和任意文件上传等点,慢慢培养自己的敏感度和自信心。
很多 SRC 大佬在入门阶段都是从逻辑漏洞入手,可以尝试一些并发逻辑漏洞。每个网站或多或少都会存在漏洞,关键是你是否善于观察和有耐心。
各类漏洞模块通常都有对应靶场(例如 SQL 注入可用 SQLi 靶场训练),可以通过这些靶场练习漏洞利用,提高实战经验。推荐使用 OWASP 虚拟机靶场,里面集成了各种漏洞练习环境,可以自行搜索和下载。
漏洞挖掘 4 – – – – 提升危害
如果你是在众测环境中发现漏洞,不建议一开始就急于提交,而是可以思考如何扩大战果。例如,发现 XSS 漏洞后,可以考虑能否获取用户的 cookie;如果不能,也可以尝试将漏洞结合 CSRF 变成 XSRF,从而形成蠕虫传播效果。在测试机器上,通过弱口令登录后,能否进一步获取 shell,拿到 shell 后进行系统审计,可能会发现多个高危问题。
在仅有登录界面的测试时,也要关注子目录和接口的存在,HTTP 状态码 403、404 不要忽略,先完成目录扫描再进行深入测试。高危漏洞往往会伴随一些低级漏洞或并发利用点,因此要全面观察,逐步挖掘。
0x05 第三步 漏洞报告
漏洞报告不仅仅是把发现的漏洞贴上去就完事,还需要包含以下内容:
- 资产发现过程:说明你是如何找到这个漏洞所在的系统或功能点的。
- 测试过程中遇到的问题:记录在测试过程中遇到的阻碍或特殊情况。
- 解决方法:描述你为验证漏洞或绕过防护所采取的方法。
- 潜在影响:明确漏洞可能造成的安全风险和实际影响。
整个报告应尽量精炼明了,同时站在审核者的角度去撰写,这样不仅便于审核,也更容易获得高分或丰富的赏金。在众测环境下,这种细致和专业的报告态度尤为重要。(人情社会下,要互相体谅理解)
0x06 第四步 挖掘漏洞过程的一些分享
浅谈
很多人觉得漏洞挖掘难,主要是因为缺乏三种关键能力:洞察力、思考力和大局观。
- 洞察力:就是能够敏锐地观察页面和参数的变化,从细微差别中发现潜在问题。
- 思考力:在观察到现象后,结合已有信息去推测后台实现逻辑,从而找到漏洞切入点。
- 大局观:指对整个系统、业务流程、架构设计有宏观的理解,知道漏洞可能存在的模块和链路,以及攻击路径的整体规划。
洞察力和思考力可以通过练习和积累慢慢培养,而大局观则需要在长期渗透测试和实践经验中逐步形成。
经验从何而来?
1.可以参加一些CTF比赛,进行锻炼和升级,能很广泛的提升自己的接触面和对漏洞的认知。
2.不要企图去加一下大师傅去骚扰他们,让大师傅们分享怎么快速挖洞的技巧,没有一步登天的好事,所有的坑都需要自己去踩,每一个人都有自己的路去走。(和别人聊天前必读《提问的艺术》和善用百度)多认识一些朋友,互相分享漏洞的思路,每天去阅读些大师傅写的文章,学习骚姿势!!不断的提升自己!!
3.找大师傅们尽量听他们给的建议,或者给你的规划,而不是说一味的去问怎么挖洞,这种问题就相当于,一个小孩还不会写字,在让你教他写作文一样,毫无意义,这个过程需要自己慢慢的积累和学习,而不是让别人喂,来让别人施舍,只会让别人看不起自己!
4.一定要有自信心,对于我们平常使用的东西,敢于发出挑战,比如让你挖百度的漏洞,你自己从心理上都把自己吓跑了(诶呀 我天天用的东西,怎么会存在漏洞呢),摆正心态,不要抱着一定会被审核通过的想法,被忽略很正常。
趣谈
之前运气好,挖到的一个洞的思路就分享给大家,首先是通过一个很微小的信息泄露在http的响应头中,找到了他们使用的cms版本号,后来通过搜索市面上的漏洞,发现最新版的问题都不存在了,后来又下载了最新的源码进行了代码审计,然后正好那段时间在学,就发现了个sql注入点。
0x06 总结
em… 这篇文章可能没有像别的大师傅写出来很炫酷的姿势,希望对和我一样的新入门的朋友能产生一些激励,带来新的思路,因为交src总有被忽略的时候,不要灰心丧气,年轻的程序员从来不缺重头再来的勇气!加油!!希望可以有所帮助!!
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
