原文 DC0531 国内SRC漏洞挖掘经验和技巧分享 唐朝 June 24, 2018

关键词

Defcon Group 0531 硬糖 PwnDog

推荐的 SRC

同程 网易 360 唯品会 腾讯 阿里巴巴
京东 小米 陌陌 滴滴 百度 蚂蚁金服

1 合规手段
2 点到为止
3 漏洞保密

信息收集

1 厂商域名
2 厂商 IP 段
3 厂商业务信息
4 厂商组织架构 (可选)

域名收集

1 SSL 证书查询
2 第三方网站接口子域名查询
3 github URL 爬虫
4 DNS 解析记录 (Rapid7, censys)
5 子域名枚举

具体展开

SSL 证书查询

https://censys.io/
https://crt.sh/
https://github.com/crtsh

第三方网站接口子域名查询

https://www.riskiq.com/
https://www.shodan.io/
https://pentest-tools.com/information-gathering/find-subdomains-of-domain
https://censys.io/
https://dnsdb.io/zh-cn/

DNS 解析记录

Project Sonar
https://opendata.rapid7.com/
https://opendata.rapid7.com/sonar.fdns_v2/
https://opendata.rapid7.com/sonar.http/

子域名枚举

https://github.com/lijiejie/subDomainsBrute

IP 段收集

CNNIC 中国互联网络信息中心
http://ipwhois.cnnic.net.cn/

Asia-Pacific Network Information Centre, APNIC
https://www.apnic.net/
https://wq.apnic.net/static/search.html?query=Netease-Network

American Registry for Internet Numbers ARIN
https://www.arin.net/

端口扫描

Python + Masscan + Nmap
python-nmap
python-libnmap

字典收集与优化

域名字典

使用 Rapid 7 的 Project Sonar 数据

站点相关字典

在 2016 年我做了这样一个事情，我下载了 1000 多个网络上开源的 web 源码，通过正则提取这些源码的目录结构，可执行脚本的文件名、参数名、请求方式、静态资源名(主要是js)等。

网站目录结构字典

可执行脚本名称字典

HTTP 参数名称字典

HTTP 参数内容字典

静态资源字典

字典的获取与使用优化

统计字典命中频率

SRC 挖掘经验参考

关于业务安全

国内 SRC 最看重的漏洞主要还是在 业务安全 方面

1 非普通用户拥有的权限，如商家、合作方，签约作者权限，以便进行测试
2 新上线业务

有些业务有 商家端、合作方， 这些区域的后台更容易出现问题。

APP测试

SSL Pinning

越狱 ios 禁止 SSL Pinning 抓 App Store 的包
http://pwn.dog/index.php/ios/ios-disable-ssl-pinning.html

瘦蛟舞 安卓证书锁定解除的工具
https://github.com/WooyunDota/DroidSSLUnpinning

参考资料

国内SRC漏洞挖掘经验和技巧分享.pdf
国内SRC漏洞挖掘经验和技巧分享-附加组件.pdf
宜人贷安全建设之端口监控服务篇

• #OSINT
• #Penetration Testing
• #信息收集
• #渗透测试