朋友问我为啥不更新了,我说天天转发这个转发那个。时间一多大家都烦躁,不如不发,或者发一些自己在项目上的一些问题,最近入职了新的公司,没错,终于找到了工作,太不容易了。
总结一下思路吧,一些有意思的姿势,或许对大家都有一些帮助。入职第一天,进了渗透组,拿到了目标,此目标经过了5次漏洞挖掘,公司一堆大佬,客户要求继续往下挖,老板提出需求,必须要有一个高危+2个中危,低危不要。
了解到次项目经过了这么多的挖掘,心里一慌,这次项目不好挖,在公司了墨迹了两天后,开始思考项目的总体思路,希望我的总结对大家的工作也有所帮助。
0x0面临的问题
公司们的大佬们把漏洞挖的差不多了,硬出也是前几次挖掘出来的不要的,子域名出来的东西大多数都是中间件默认页面,无从下手。
主要的web基本上大家都会,看全了,也没什么漏洞,剩下的没修的,也基本上是提交过的,web挖掘很困难。
0x1尝试边缘突破
两天过后,开始针对目标资产信息收集,不挖WEB,不挖主站业务,旁站也不看了,C段自动放弃(其实是有一定漏洞,会偏)。
小程序虽然大家都挖了,但是没有反编译去寻找源码内的漏洞,单纯的去抓包看业务,从手机里找到小程序的包
手机里的小程序路径
data/data/com.tencent.mm/MicroMsg/不知道啥的编码/appbrand/pkg/
拖到电脑里,在码云随便找一个反编译的工具,开始反编译,去寻找硬密码,经过几个小程序的寻找,从一个不太常用的小程序里找到了,开发没有删除的一些密码和账号,加一大堆的路由,做了字典,美滋滋的交了个漏洞。
收集小程序的路由,组合字典FUZZ,这些路由会将我们带到不同的功能点,通过硬编码的路由(其实就是web路径),配合夜神+BURP作为流量记录器使用,从BP历史包里找到目标的基本路径,进行后续的渗透,会发现一些角落里的风险点,像未授权访问,和信息泄露,往往伴随着出现。
其中好几个风险点,都是架设在之前收集的web默认页面上的,路径一删,又回到了默认页面了,这些路径你字典没有,你又有什么办法。
美滋滋的测了一些功能和业务,产出了一些问题和风险点,马上就进入了无漏洞产出的境地,有点尴尬。
在公司有点菜的抠脚的我,尝试转变一下自己的思路,风险点全是小程序出来的,那么其实接下的渗透也很简单。转变一下思路或许有帮助。
0x2思路转变
小程序挖完,开始收集APP IOS 等涉及到项目的应用,通过反编译得出源码,进行脱壳(爱加密),进行代码审计,重点放在了路由的拼接和硬编码上,毕竟APP渗透也不太熟练,在我方项目中能把APP脱壳出源代码算做高危,但是重复了,被大佬挖过,但是大佬没我看源码看的细致,工具扫一遍,人工通读,挖洞,全靠肝。
也是在其中APP中的业务产出了存储类的XSS,没技术含量,到处乱插,有授权没怕的。
同样,很快,挖了几个又没了,开始在公司摆烂躺平。在吃饭的时候,使用支付宝付钱,思考是不是支付宝小程序也算作一个资产入口,也可以进行挖掘。
午休都没休,开始对着支付宝小程序进行抓包,果然出来了一个很奇怪的路径,就像开发不想让你看见的那些东西一样(错觉,应该是业务忘了更新),一打开路径,没错了,老业务,老系统,撞了大运。产出了漏洞。
0x3边缘信息收集
我也看了很多的教程和公众号,都告诉我信息收集很重要,我也知道很重要,但是翻来覆去都是那些东西,对于打点资产是一点不说,只能自己摸索。因为打了两年的*队,在无任何day的情况下,尝试边缘突破,对其边缘的资产格外的注意,不知道你们对于边缘资产如何定义。
多级子域名?还是开发人员IP资产?还是甲方资产边缘?路由器页面?C段?全端口?边缘业务?这个说着可就多了,但是实际用的没几个。
我习惯于通过FOFA的组合语法进行信息收集,鹰图配合,通过body&body对网站内的备案号,XXX技术支持,页面友联,icon进行组合查询,反正不看子域名就对了,都挖子域名,谁又注意隐藏资产?
本次项目也开始寻找隐藏的资产,通过上面的方式,找到了开发遗留的API
0x4总结
对于本次项目共产出5个漏洞,其中两个高危(其实写错了,是仨高危,报告里我写了个中危,气死了),3个中危漏洞,心里感触较大,对于这种项目本身WEB没啥洞的,挖掘的思路也变成了从应用进入系统的渗透思路,各种路由的寻找收集,下次估计还会开,到时候看看能不能突破自己的思路,挖掘更多的漏洞。
0x5题外话
渗透不规范,亲人两行泪。
来济南出差了,这边怎么这么多雨啊!!!!
希望我写的这个总结,对大家在公司里的项目,一些很难挖掘的项目带来一些思路,也欢迎大家探讨各种技术的问题。
祝各位工作顺利