奇安信攻防社区-利用第三方平台快速发现漏洞

利用第三方平台快速发现漏洞

在挖SRC漏洞时，我们通常会从信息收集开始，挖掘企业主域名、子域名、端口扫描、网站爬虫等一系列操作，做完这些操作之后，你会发现花费了大量的时间和精力，那么有没有什么办法，快速发现目标相关带参数的链接，直接开始漏洞扫描呢？

0x00 前言
=======

0x01 Gau
========

老外这块做的多，在网络上部署大量节点对全网网站进行爬取，保存目标相关的链接，待用户需要时，针对性的搜索即可，比如：

> <https://web.archive.org/>

![image-20220623094034432.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-fefc91a96d335775aa164a5143ca805b5ae2bbc8.png)

类似的平台还有其他的，当我们拿到一个项目的时候，不妨先试试这个，今天给大家分享一个工具 gau：

> <https://github.com/lc/gau>

集成的 url 查询平台有四个，如图：

![image-20220623094523595.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-01ee90f451fd35bc930dd2fd53c5b49b647892fa.png)

除了这个，还有一个加强版 gauplus：

> <https://github.com/bp0lr/gauplus>

从名字上看是一个大号版的 gau，速度比 gau 快，如果针对大量目标的话，用 gauplus 是个不错的选择：

![image-20220623094826561.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-6528b8ffecd3ffc9d877b21316e2a9eca107ce20.png)

0x02 应用场景
=========

接下来安装尝试下 gauplus 的功能如何，安装比较简单，先部署好 go 环境，然后下载代码，go build 就可以，咱们以 xazlsec.com 为例，看看能搜到些啥：

> echo xazlsec.com | ./gauplus -o xazlsec.txt

![image-20220623095347670.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-f0b37870e91ec319cc34a88af6461123e7ee3591.png)

结果是目标相关的所有链接，包含图片、js 文件等，但是没有发现 edu、wiki 这几个域名之下的内容，说明该数据集并不全面，但是作为挖洞起始的数据已经可以了，剩下的资产数据可以自己通过子域名枚举等方式获取。

那么有了这些数据有啥用呢？说实话，用处非常大，下面给大家分享几个思路：

1、编辑器漏洞发现
---------

看图片的路径，是否存在比较知名的编辑器，比如 ueditor、kineditor、fckeditor 等，如果存在那么就可以尝试有没有编辑器的漏洞，比如我提取路径中带有 ueditor 的网站，使用 xray 的 poc-yaml-ueditor-cnvd-2017-20077-file-upload 进行测试，扫描出的结果如图：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-91e88e705b6d9485317eeacc20e83944d8a2a483.png)

然后尝试复现，使用我自己编写的脚本。地址：

<https://github.com/myh0st/scripts/blob/master/cnvd-2017-20077.py>

在远程服务器上创建一个图片文件比如 1.png，然后启动 web 服务：

> python3 -m http.server 8080

比如 url：<https://111.111.11.11:8080/1.png>

在 url 后面添加 ?.aspx ，比如

> <https://111.111.11.11:8080/1.png?.aspx>

替换掉 poc 中的图片地址，然后就可以批量检测，上传成功之后，会返回数据包：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-4a74663479d356429d2fa6cd4345f5912bcf8dac.png)

访问之后：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-f12cee06ff8a043fcecd3d91847c5c3473df995e.png)

漏洞利用成功。

2、寻找备份文件
--------

看关键词 `.sql`、`.bak`等后缀是否存在，如果存在说明找到了一些数据库备份、网站源码备份等

这种是因为目标存在列目录的问题，导致爬虫可以爬取到备份的文件路径，比如这种：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-d3e5b177d1e6f96a568c744e1aaaaf6c04eeb604.png)

3、针对GET参数进行漏扫
-------------

提取带参数的 URL，比如 URL 包含关键词 `?` 和 `=` 的，提取出来之后，进行去重，去重小工具，参考：

> <https://github.com/s0md3v/uro>

效果如图：

![image-20220623100000776.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-dada1fcd3094c0bc686a7818e7d62f97fd4249b6.png)

去重之后就可以用 xray 批量检测，检测命令：

> xray.exe webscan --uf urlfile.txt --ho output.html

漏洞还真不少，如图：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-d8c54a61407731792e5535c821540fdf55eaaca3.png)

接下来就是一一验证了。

4、发现JS敏感信息
----------

提取 js 文件，从 js 中提取关键信息，比如各种 token、api key 等，工具参考：

> <https://github.com/m4ll0k/SecretFinder>

其原理是通过正则匹配常见敏感字符串，核心正则：

![image-20220623100207046.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-3f0bbff922bbdf227cde31266c011aa948764850.png)

比如泄露企业微信的认证token：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-9edd076473ed0e34a823d656582002afd767f701.png)

5、抓取POST请求进行漏扫
--------------

可以借助爬虫 crawlergo 抓取POST请求及参数，然后将数据包发送给被动漏洞扫描器，比如 xray 来进行扩展漏扫，发现登录认证功能的漏洞。

crawlergo 的下载地址：

> <https://github.com/Qianlitp/crawlergo>

基于 chrome 内核，触发 js 执行，自动表单填写，可以爬取链接的同时，抓取到 POST 请求及参数，其可以与 xray 联动，具体操作，这里就不细说了。

0x03 总结
=======

以上就是在不接触目标的情况下，获取目标相关信息，然后进行漏洞发现，当然漏洞发现必须要接触目标才行，在时间有限的情况下，这不失为一种非常好的渗透思路。

发表于 2022-07-04 09:52:26
阅读 ( 10439 )
分类：渗透测试

利用第三方平台快速发现漏洞

0 条评论