SRC漏洞挖掘與最重要的環(huán)節——信息收集

　　SRC挖掘有很多平臺，比如EDUSRC，比如公益SRC：補天、漏洞盒子等，還有就是一些企業(yè)SRC。對于挖掘src的小伙伴來(lái)說(shuō)第一步都是對資產(chǎn)進(jìn)行收集，所以本篇文章首先介紹一下SRC的上分思路，然后會(huì )具體講解一下信息收集的思路。

　　公益SRC對于公益SRC來(lái)說(shuō)，會(huì )存在各種各樣的漏洞，SQL注入、反射XSS、存儲XSS、任意注冊、cms通殺、弱口令還有邏輯漏洞，公益SRC主要比拼的無(wú)非就是手速，手速決定一切，提交的最多的一般還是sql注入、弱口令、和cms通殺。公益SRC想要沖榜的話(huà)可以選擇一些有大的安全活動(dòng)的時(shí)間，大佬們去參加安全活動(dòng)，這個(gè)時(shí)候可以取巧，上榜會(huì )稍微輕松一點(diǎn)。對于公益SRC來(lái)說(shuō)，想要沖榜就不能在一個(gè)站上浪費大量時(shí)間，公益SRC對洞的質(zhì)量要求不高，所以只要 花時(shí)間，還是可以上榜的。谷歌鏡像站：

　　SQL注入SQL注入的話(huà)主要通過(guò)google語(yǔ)法或者fofa進(jìn)行搜索查找，使用inurl關(guān)鍵字在谷歌中搜索。如：inurl:php?id=、inurl:asp?id、inurl:Show.asp?ID= 等等。注意：不管是使用Google和fofa進(jìn)行特定網(wǎng)站搜索，還是進(jìn)行信息收集，只使用一種關(guān)鍵字對站點(diǎn)去進(jìn)行查找是絕對無(wú)法找全的，關(guān)鍵字有很多，思路也有很多，思維不能局限住，要不斷地去變換?？梢試L試這么去構造Google語(yǔ)句：地區inurl:"type_id=1"、行業(yè)inurl:"ptherinfo.asp?id=1"地區和行業(yè)可以任意替換，在提交漏洞的地方通常會(huì )有一個(gè)選項，選擇漏洞所屬地區和所屬行業(yè)，可以以此為準一個(gè)一個(gè)找，之后還可以將php替換為asp、aspx、jsp等站點(diǎn)。在對某站點(diǎn)進(jìn)行測試SQL注入的時(shí)候，先通過(guò)一些方式測試是否可能存在漏洞，然后可以直接sqlmap一把梭，也可以手工測試，然后提交漏洞。

　　XSS對于XSS來(lái)說(shuō)可能并不好找，所以我認為沒(méi)必要太刻意的去挖XSS，不管是反射型還是存儲型，所以我認為在測試sql注入的時(shí)候順帶對XSS進(jìn)行測試就好了。但是如果想要專(zhuān)門(mén)挖xss，在實(shí)戰中學(xué)習，也可以通過(guò)和sql注入一樣的語(yǔ)法，改變幾個(gè)關(guān)鍵字就好了，比如：地區inurl:"search?kw="、inurl:'Product.asp?BigClassName'

　　任意注冊如果你想要挖任意注冊漏洞，那么你首先需要了解什么是任意注冊，任意注冊是一種程序設計的缺陷，顧名思義就是隨便注冊，不需要什么條件，注冊處無(wú)任何驗證。Google語(yǔ)法關(guān)鍵詞：地區/行業(yè)inurl:"register"、地區/行業(yè)inurl:"regp.asp"、Reg.asp、userreg.asp、reg1.asp等。任意注冊算是低危漏洞，不過(guò)也有兩分。任意注冊沒(méi)多少人挖，可以嘗試挖掘。去漏洞盒子提交漏洞的時(shí)候，可以看下漏洞類(lèi)型，可以挑一些你認為漏洞比較冷門(mén)沒(méi)人挖并且普遍存在的去下手。

　　CMS通殺普通人找通殺的思路無(wú)法就是百度谷歌搜索cms通殺，但是其實(shí)這樣的效率并不高，通殺也找不到幾個(gè)，這里建議可以去一些漏洞文庫，建議多進(jìn)行漏洞復現，多實(shí)戰，多積累實(shí)戰經(jīng)驗，復現漏洞也是一種積累。

　　弱口令嘗試弱口令的過(guò)程比較繁瑣，但是最好老老實(shí)實(shí)的手工上分，百度或者谷歌語(yǔ)法搜索后臺站點(diǎn)。如：山西inurl:"后臺"可以嘗試：賬號：admin/test/cs/ceshi/test01等 密碼：admin/123456/a123456/admin123/admin123456等。也可以借助fofa對后臺站點(diǎn)進(jìn)行搜索：title="后臺管理" && country="CN"

　　EDUSRCfofa語(yǔ)句（查找edu里的管理系統）:"管理系統" && org="China Education and Research Network Center"對于EDUSRC來(lái)說(shuō)，想上分的同學(xué)主要有兩種方式：1.挖通用性漏洞。找一些站點(diǎn)或者系統，被廣大學(xué)校所使用，覆蓋率很高，再去對這個(gè)站點(diǎn)或者系統進(jìn)行漏洞挖掘，挖掘到之后就可以批量刷分。2.定點(diǎn)打擊。對一個(gè)學(xué)校埋頭苦干，通過(guò)一些信息泄露或者一些學(xué)生的微博、朋友圈等，獲取一些學(xué)生的相關(guān)信息，比如學(xué)號、身份信息號碼、電話(huà)等等，嘗試登入校園內網(wǎng)或者登錄校園統一身份認證系統，對內網(wǎng)進(jìn)行漏洞挖掘，直接日穿。使用Google語(yǔ)法進(jìn)行收集：site:""inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms查找文本內容：site:域名 intext:管理|后臺|登陸|用戶(hù)名|密碼|驗證碼|系統|帳號|admin|login|sys|managetem|password|username查找可注入點(diǎn)：site:域名 inurl:aspx|jsp|php|asp查找上傳漏洞：site:域名 inurl:file|load|editor|Files找eweb編輯器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit存在的數據庫：site:域名 filetype:mdb|asp|#查看腳本類(lèi)型：site:域名 filetype:asp/aspx/php/jsp迂回策略入侵：inurl:cms/data/templates/images/index/

　　信息收集滲透測試的本質(zhì)就是信息收集，信息搜集的廣度決定了攻擊的廣度，知識面的廣度決定了攻擊的深度。不管是進(jìn)行SRC漏洞挖掘，還是做項目進(jìn)行滲透測試,又或者是打紅藍對抗，一定要做好信息收集。信息收集很重要，如確定資產(chǎn)，比如他有哪些域名、子域名、C段、旁站、系統、微信小程序或者公眾號，確定好站點(diǎn)或者目標系統之后，就是常規的指紋識別，像中間件、網(wǎng)站，掃目錄，后臺，確定功能然后分析每個(gè)功能點(diǎn)上會(huì )有哪些漏洞，就比如一個(gè)登錄頁(yè)面，我們可以考慮的是爆破賬號密碼，社工賬號密碼，SQL注入，XSS漏洞，邏輯漏洞繞過(guò)等。如果大家挖掘SRC的水平都是一樣的或者說(shuō)我們對于各種操作都是同樣了解的，那么如果超越別人，如果你挖的比別人慢，那么你后期提交的漏洞會(huì )撞洞，然后忽略處理。在短時(shí)間內你無(wú)法去提升你的技術(shù)或者是挖掘一個(gè)新的思路，這個(gè)時(shí)候就體現了資產(chǎn)搜集的能力，信息搜集是最難的，也是最麻煩耽誤時(shí)間的，且必須要實(shí)時(shí)去關(guān)注的一件事情。一些常用網(wǎng)站:ICP備案查詢(xún)：權重查詢(xún)：多地ping：whois查詢(xún)：IP反查：以xxx公司為例，根域名：信息收集可以從多個(gè)領(lǐng)域來(lái)看：公司，子公司，域名，子域名，IPV4，IPV6，小程序，APP，PC軟件等等可以重點(diǎn)關(guān)注備案網(wǎng)站，APP，小程序，微信公眾號，甚至是微博。這里說(shuō)一點(diǎn)小思路，首先可以找到官網(wǎng)，用cmd ping他的官網(wǎng)，可以看到IP地址，然后可以定位whois，whois中包含了用戶(hù)、郵箱，以及購買(mǎi)的網(wǎng)段。有了網(wǎng)段就可以進(jìn)行一些主動(dòng)信息收集，可以使用一些強大的資產(chǎn)測繪工具，goby的資產(chǎn)測繪還是很不錯的，會(huì )有一些web服務(wù)，不用擔心沒(méi)有banner，往往這些沒(méi)有banner的才有問(wèn)題。注意觀(guān)察一下網(wǎng)站底部是否有技術(shù)支持：xxxx|網(wǎng)站建設：xxxx之類(lèi)的標注，一些建站企業(yè)會(huì )出于知識產(chǎn)權保護或者是對外宣傳自己的公司，會(huì )在自家搭建的網(wǎng)站上掛上技術(shù)支持等之類(lèi)的標注，很多建站企業(yè)往往某種類(lèi)型的網(wǎng)站都是套用的同一套源碼，換湯不換藥，運氣不錯的話(huà)，那我們的事件就秒變通用。

　　子域名收集Oneforall盡量多湊一點(diǎn)API，fofa可以找人借一些api，越多越好。執行命令：常用的獲取子域名有2種選擇，一種使用--target指定單個(gè)域名，一種使用--targets指定域名文件。python3 oneforall.py --target runpython3 oneforall.py --targets ./domains.txt runpython3 oneforall.py --target runKunyu（坤輿）一款信息搜集工具，包含了很多的接口，包括zoomeyes、360quakeJSFinder（JS信息收集）JSFinder是一個(gè)在網(wǎng)頁(yè)的JS文件中尋找URL和子域名的工具，在網(wǎng)站的JS文件中，會(huì )存在各種對測試有幫助的內容，JSFinder可以幫我們獲取到JS中的url和子域名的信息，擴展我們的滲透范圍。爬取分為普通爬取和深度爬取，深度爬取會(huì )深入下一層頁(yè)面爬取的JS，時(shí)間會(huì )消耗的相對較長(cháng)。執行命令：python3 JSFinder.py -u -ou JSurl.txt -os JSdomain.txt運行結束后會(huì )生成兩個(gè)txt文本，Jsurl.txt為URL里面會(huì )有一些接口什么的，Jsdomain.txt為子域名基于TamperMonkey的版本：Layer、子域名收割機 進(jìn)行挖掘通過(guò)這些域名收集工具（layer子域名挖掘機、Maltego CE、wydomain、subDomainsBrue、sublist3r、subfinder）進(jìn)行挖掘。

　　在線(xiàn)網(wǎng)站查詢(xún)?yōu)榱吮苊釯P被封掉，直接使用在線(xiàn)的子域名爆破網(wǎng)站。subDomainBrute執行命令：python subDomainsBrute.py -t 10 -o .txtpython subDomainsBrute.py -t 10 --full -o .txt //全掃描。Sublist3rKali和Windows環(huán)境下都可以裝這個(gè)工具，Sublist3r是一個(gè)python版工具，其原理是基于通過(guò)使用搜索引擎，從而對站點(diǎn)子域名進(jìn)行列舉。Kali：git clone 執行命令：python sublist3r.py -d -o -sublist3r.txtDNSdumpster非常好用的一個(gè)域名搜索網(wǎng)站，還會(huì )自動(dòng)歸納同一個(gè)IP的多個(gè)域名。在線(xiàn)域名爆破小藍本通過(guò)小藍本進(jìn)行查詢(xún)：愛(ài)企查、企查查、天眼查之前愛(ài)企查活動(dòng)送了會(huì )員，可以更好的進(jìn)行查詢(xún)。谷歌語(yǔ)法迅速查找信息泄露、管理后臺暴露等漏洞語(yǔ)法，例如：filetype:txt 登錄filetype:xls 登錄filetype:doc 登錄intitle:后臺管理intitle:loginintitle:后臺管理 inurl:adminintitle:index of /查找指定網(wǎng)站，再加上site:，例如：site: filetype:txt 登錄site: intitle:后臺管理site: adminsite: loginsite: systemsite: 管理site: 登錄site: 內部site: 系統谷歌/必應：site:site:如果發(fā)現檢索出來(lái)的很多結果都是www，眾所周知主站一般防御很?chē)?，如果我們不想看到主站可以直?-wwwsite: -www這樣出來(lái)的結果會(huì )自動(dòng)刪去wwwShodan、fofa、zoomeye、360quake等忘了資產(chǎn)搜索引擎fofa語(yǔ)法FOFA作為一個(gè)搜索引擎，我們要熟悉它的查詢(xún)語(yǔ)法，類(lèi)似google語(yǔ)法，FOFA的語(yǔ)法主要分為檢索字段以及運算符，所有的查詢(xún)語(yǔ)句都是由這兩種元素組成的。

　　目前支持的檢索字段包括：domain，host，ip，title，server，header，body，port，cert，country，city，os，appserver，middleware，language，tags，user_tag等等，等等，支持的邏輯運算符包括：=，==，！=，&&，||。如果搜索title字段中存在后臺的網(wǎng)站，我們只需要在輸入欄中輸入title=“后臺”，輸出的結果即為全網(wǎng)title中存在后臺兩個(gè)字的網(wǎng)站，可以利用得到的信息繼續進(jìn)行滲透攻擊，對于網(wǎng)站的后臺進(jìn)行密碼暴力破解，密碼找回等等攻擊行為，這樣就可以輕松愉快的開(kāi)始一次簡(jiǎn)單滲透攻擊之旅，而企業(yè)用戶(hù)也可以利用得到的信息進(jìn)行內部的弱口令排查等等，防范于未然。例：搜索QQ所有的子域名：domain=“”例：搜索host內所有帶有的域名：host=“”例：搜索某個(gè)IP上的相關(guān)信息：ip=“58.63.236.248”ip=“111.1.1.1/8”ip="111.1.1.1/16"ip="111.1.1.1/24"例：搜索title包含有“漏洞”的IP：title=“漏洞”例：Apache出來(lái)了一個(gè)高危漏洞，我們需要去統計全球的Apache：server=“Apache”例：搜索前段時(shí)間非?；鸬暮？低暎篽eader=“Hikvsion”例：假如我想搜索微博的后臺，域名為： 并且網(wǎng)頁(yè)內body包含“后臺”：body=“后臺”&& domain=“”&&：與body=“后臺”&& domain=“”提取域名為：并且網(wǎng)頁(yè)內body包含“后臺”的網(wǎng)站，需要同時(shí)滿(mǎn)足兩個(gè)條件。

　　例：想要找非80端口 port！=“80”!=:port!="80" 匹配端口不為80端口的服務(wù)搜索證書(shū)（https或者imaps等）例：百度公司為了檢查自己的域名是否還有*敏*感*詞*出血漏洞可以使用語(yǔ)法：cert=“baidu”搜索指定國家（編碼）的資產(chǎn)例：搜索中國的服務(wù)器 country=“CN”注：country=“CN” country后面的規則為各國家的縮寫(xiě)，全球國家縮寫(xiě)如下連接：搜索指定城市的資產(chǎn)例：搜索上海的服務(wù)器 city=“Shanghai”注：搜索城市時(shí)填寫(xiě)城市的全程，首字母必須大寫(xiě)例：搜索centos所有主機 os=“centos”了解了基礎查詢(xún)我們再來(lái)說(shuō)說(shuō)高級查詢(xún)，就是多個(gè)基礎查詢(xún)語(yǔ)句用邏輯連接符拼成的語(yǔ)句，例如我們要搜索上海的Discus組件，搜索語(yǔ)句時(shí) (title="Discuz" || body="count="Discuz")&&city="Shanghai"&&：邏輯與||：邏輯或上面的語(yǔ)句意思為 (title="Disuz" ||body="content="Discuz") 與city="Shanghai" 這兩個(gè)條件必須同時(shí)滿(mǎn)足，(title="Discuz" ||body="dontent="Discuz") 中的title=”Discuz“與body=”content=\”Discuz“ 滿(mǎn)足一個(gè)即可

　　FOFA可以從不同維度搜索網(wǎng)絡(luò )組件，例如地區，端口號，網(wǎng)絡(luò )服務(wù)，操作系統，網(wǎng)絡(luò )協(xié)議等等。目前FOFA支持了多個(gè)網(wǎng)絡(luò )組件的指紋識別，包括建站模塊、分享模塊、各種開(kāi)發(fā)框架、安全檢測平臺、項目管理系統、企業(yè)管理系統、視頻監控系統、站長(cháng)平臺、電商系統、廣告聯(lián)盟、前端庫、路由器、SSL證書(shū)、服務(wù)器管理系統、CDN、Web服務(wù)器、WAF、CMS等等尤其現在支持icon圖標、logo搜索，非常方便，fofa搜索語(yǔ)法與shodan類(lèi)似title="abc" 從標題中搜索abc。例：標題中有北京的網(wǎng)站header="abc" 從http頭中搜索abc。例：jboss服務(wù)器body="abc" 從html正文中搜索abc。例：正文包含Hacked bydomain="" 搜索根域名帶有的網(wǎng)站。例：根域名是的網(wǎng)站host="." 從url中搜索.,注意搜索要用host作為名稱(chēng)。例：政府網(wǎng)站, 教育網(wǎng)站port="443" 查找對應443端口的資產(chǎn)。例：查找對應443端口的資產(chǎn)可以安裝shodan chrome插件，方便進(jìn)行查看和使用。微步在線(xiàn)微步在線(xiàn)的反向IP查找域名十分好用整數透明度公開(kāi)日志枚舉其他途徑旁站查詢(xún)旁站就是在同一臺服務(wù)器上搭建的多個(gè)網(wǎng)站，使用同一個(gè)IP地址。在目標網(wǎng)站無(wú)法攻擊成功時(shí)，若他的旁站可以成功攻擊并獲取相應的系統權限，這勢必會(huì )影響到目標網(wǎng)站的安全性，因為已經(jīng)獲取到同一臺服務(wù)器的權限了。公眾號、服務(wù)號收集搜狗搜索引擎企查查微信小程序從微信小程序入手，進(jìn)行測試APP小藍本企查查愛(ài)企查點(diǎn)點(diǎn)七麥七麥還可以切換蘋(píng)果和安卓，獲取下載鏈接apk丟進(jìn)模擬器指紋識別Ehole使用方法：./Ehole-darwin -l url.txt //URL地址需帶上協(xié)議,每行一個(gè)./Ehole-darwin -f 192.168.1.1/24 //支持單IP或IP段,fofa識別需要配置fofa密鑰和郵箱./Ehole-darwin -l url.txt -json export.json //結果輸出至export.json文件

　　Glass使用方法：python3 Glass.py -u 單url測試python3 Glass.py -w domain.txt -o 1.txt // url文件內

　　BugScanner主站沒(méi)識別出來(lái)，但是其他子站可以丟進(jìn)來(lái)看看潮汐指紋Kscan此工具需要go環(huán)境云悉云悉可以在線(xiàn)搜索子域名、IP段、CMS指紋等信息大禹CMS識別程序對于查詢(xún)到的CMS可以利用網(wǎng)站用于查詢(xún)其他finger 或者棱鏡也可以繞過(guò)CDN如果目標沒(méi)有使用CDN，可以通過(guò)ping獲取IP地址?；蛘呃迷诰€(xiàn)網(wǎng)站 使用了CDN就繞過(guò)CDN來(lái)獲取真實(shí)的IP地址：因為有些網(wǎng)站設置CDN時(shí)，可能沒(méi)把國外的訪(fǎng)問(wèn)包含進(jìn)去，所以可以嘗試國外繞過(guò)驗證ip地址因為通過(guò)各種方法得到的ip地址很多，有的是偽ip，無(wú)法訪(fǎng)問(wèn)，這就需要逐個(gè)驗證，方法簡(jiǎn)單但是i西南西量比較大，利用ip地址對web站點(diǎn)進(jìn)行訪(fǎng)問(wèn)查詢(xún)域名解析記錄內部郵箱源，收集到內部郵箱服務(wù)器IP地址網(wǎng)站phpinfo文件phpinfo.php分站IP地址，查詢(xún)子域名，CDN很貴，很可能分站就不再使用CDN國外訪(fǎng)問(wèn)敏感信息收集githubgithub敏感信息泄露一直是企業(yè)信息泄露和知識產(chǎn)權泄露的重災區，安全意識薄弱的同事經(jīng)常會(huì )將公司的代碼、各種服務(wù)的賬號等極度敏感的信息【開(kāi)源】到github中這里可以利用github找存在這個(gè)關(guān)鍵字的代碼，這樣可以收集到的方面更廣

　　GSIL項目：通過(guò)配置關(guān)鍵詞，實(shí)時(shí)監控GitHub敏感信息泄露情況，并發(fā)送至指定郵箱常見(jiàn)自身泄露robots.txtcrossdomain.xml(跨域策略文件cdx)從流量中分析提取流量代理：通過(guò)WebProxy代理電腦所有流量，再分析流量中出現的子域名域名跳轉記錄中的子域名Response中存在的子域名網(wǎng)絡(luò )請求資源中的子域名DNS解析SSL證書(shū)查詢(xún)暴力枚舉網(wǎng)盤(pán)搜索盤(pán)多多：盤(pán)搜搜：盤(pán)搜：凌云風(fēng)搜索：直接輸入廠(chǎng)商名字然后搜索，看看是否泄露了源碼，或者賬號密碼之類(lèi)的路徑掃描404，403頁(yè)面，不是真的沒(méi)有東西，要一層一層fuzz，一層一層的掃下去工具：具體使用方法可以查看github介紹，這里我一般是使用如下命令（因為擔心線(xiàn)程太高所以通過(guò)-t參數設置為2）。python3 dirsearch.py -u * -t 2關(guān)鍵的地方是大家都可以下載這款工具，獲取它自帶的字典，那么路徑的話(huà)，便是大家都能夠搜得到的了，所以這里我推薦是可以適當整合一些師傅們發(fā)出來(lái)的路徑字典到/dirsearch-0.4.2/db/dicc.txt中。推薦一些字典：GitHub - ybdt/dict-hub: 紅隊字典：弱用戶(hù)名、弱口令、默認口令、泄露密鑰dict-hub/2-弱口令 at master · ybdt/dict-hub · GitHub每個(gè)工具掃出來(lái)同一個(gè)站點(diǎn)都會(huì )爆出不同的路徑，建議把三個(gè)工具都拿來(lái)掃一遍，另外找一些像后臺、登錄系統之類(lèi)的，可以用Google hackingsite: adminsite: loginsite: systemsite: 管理site: 登錄site: 內部site: 系統御劍7kbscandirsearch基于證書(shū)基于shodan找到帶有該icon的網(wǎng)站在shodan搜索中有一個(gè)關(guān)于網(wǎng)站icon圖標的搜索語(yǔ)法，http.favicon.hash，我們可以使用這個(gè)語(yǔ)法搜索出使用了同一icon圖標的網(wǎng)站。

　　由于hash為一個(gè)未知的隨機數，所以是無(wú)法通過(guò)輸入一個(gè)確定的hash值來(lái)搜索帶有指定圖標的網(wǎng)站的，只能通過(guò)查看一個(gè)已經(jīng)被shodan收錄的網(wǎng)站的hash值，來(lái)進(jìn)一步獲取到所有帶有某icon的網(wǎng)站。那么這里的用法就非常具有局限性，你只能是碰運氣來(lái)找到你所需要查找的網(wǎng)站，因為shodan不一定收錄了你想要搜索的網(wǎng)站。那么如果shodan收錄了某個(gè)IP，這個(gè)服務(wù)器帶有某個(gè)icon圖標，也可以搜索所有帶有此icon的服務(wù)器IP如果我像搜索帶有這個(gè)icon的所有IP地址的話(huà)，可以先在shodan搜索這個(gè)IP。注意：shodan中有一個(gè)功能，shodan的原始數據（Raw Data）功能。點(diǎn)擊詳情里的View Raw Data，打開(kāi)可以看到shodan所存儲的關(guān)于這個(gè)IP的所有信息的原始數據。關(guān)于icon hash的字段是：data.0.http.favicon.hash這個(gè)數值就是http.favicon.hash：中所需要的搜索值。根據上述得到的hash值，成功得到了所有待用這個(gè)icon的網(wǎng)站。域傳送漏洞DNS區域傳送（DNZ zone transfer）指的是一臺備用服務(wù)器使用來(lái)自主服務(wù)器的數據刷新自己的域（zone）數據庫。

　　這位運行中的DNS服務(wù)提供了一定的冗余度，其目的是為了防止主的域名服務(wù)器因意外故障變得不可用時(shí)影響到整個(gè)域名的解析。一般來(lái)說(shuō)，DNS區域傳送操作只在網(wǎng)絡(luò )里真的有備用域名DNS服務(wù)器時(shí)才有必要用到，但許多DNS服務(wù)器卻被錯誤的配置成只要有client發(fā)出請求，就會(huì )向對方提供一個(gè)zone數據庫的詳細信息，所以說(shuō)允許不受信任的因特網(wǎng)用戶(hù)執行DNS區域傳送（zone transfer）操作是最為嚴重的錯誤配置之一?？梢杂胐ig工具來(lái)檢測域傳送漏洞：命令如下：[ dig axfr @ ][ dig axfr @172.16.132.1]通過(guò)域名傳送漏洞可以得到子域名信息以及子域名對應的IP地址。常見(jiàn)漏洞弱口令，管理員權限的弱口令，可以是一些后臺管理系統的，也可以是防火墻的。越權，這個(gè)相對來(lái)說(shuō)比較常見(jiàn)，系統設計存在缺陷，通過(guò)參數來(lái)傳遞身份和訪(fǎng)問(wèn)請求頁(yè)面的信息，只需要修改參數即可越權到別人的身份，可能有垂直越權，也可能是水平越權。SQL注入，只要細心一點(diǎn)，SQL注入也是比較常見(jiàn)的，只要能注出數據庫就行了，注意別惹禍上身。文件上傳，這類(lèi)的話(huà)，有一些老系統沒(méi)什么限制，可以嘗試。struts2框架漏洞，這個(gè)框架出了很多漏洞，前段時(shí)間比較火。shiro命令執行，也是框架漏洞，一個(gè)反序列化漏洞，現在網(wǎng)上還存在很多存在這個(gè)洞的站點(diǎn)。任意文件下載，在一些站點(diǎn)的下載點(diǎn)，可以抓包測試，通過(guò)修改下載鏈接中下載文件的路徑，像/etc/passwd,WEB-INF/web.xml等文件。任意文件下載常用路徑：LINUX:

　　/root/.ssh/authorized_keys<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/root/.ssh/id_rsa<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/root/.ssh/id_ras.keystore<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/root/.ssh/known_hosts<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/passwd<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/shadow<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/issue<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/fstab<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/host.conf<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/motd<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/sysctl.conf<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/inputrc 輸入設備配置文件<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/default/useradd 添加用戶(hù)的默認信息的文件<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/login.defs 是用戶(hù)密碼信息的默認屬性<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/skel 用戶(hù)信息的骨架<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/sbin/nologin 不能登陸的用戶(hù)<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/var/log/message 系統的日志文件<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/httpd/conf/httpd.conf 配置http服務(wù)的配置文件<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/ld.so.conf<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/my.cnf<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/etc/httpd/conf/httpd.conf<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/root/.bash_history<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/root/.mysql_history<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/proc/mounts<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/porc/config.gz<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/var/lib/mlocate/mlocate.db<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />/porc/self/cmdline

　　WINDOWS:

　　C:\windows\system32\drivers\etc\hosts host文件<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:*\apache-tomcat-7.0.1/conf/context.xml、web.xml、server.xml、tomcat-users.xml<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\boot.ini //查看系統版本<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Windows\repair\sam //系統初次安裝的密碼<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Program Files\mysql\my.ini //Mysql配置<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Program Files\mysql\data\mysql\user.MYD //Mysqlroot<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Windows\php.ini //php配置信息<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Windows\my.ini //Mysql配置信息<br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" /><br style="outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;" />C:\Windows\win.ini //Windows系統的一個(gè)基本系統配置文件

　　邏輯漏洞，一些已經(jīng)被很多人挖過(guò)的站點(diǎn)除了一些最新的漏洞之外，可能就只剩下邏輯漏洞了，比如任意密碼修改，或者一些組件漏洞，還有在修改密碼的地方，修改密碼請求是一次發(fā)包還是分兩次發(fā)包，密碼找回點(diǎn)，有些情況下驗證碼就在返回包中包含著(zhù)；有些情況下接受驗證碼的手機號或者郵箱就在請求包中，可修改為自己的，驗證碼就會(huì )發(fā)送到你修改的手機號或者郵箱處，挖邏輯漏洞的話(huà)，更多情況下要抓包查看，了解它的邏輯，從中找到缺陷。具體可以看：該文章專(zhuān)門(mén)對邏輯漏洞進(jìn)行了總結。文章來(lái)源：FreeBuf.COM；作者：YLion侵權請私聊公眾號刪文