SRC信息收集方法论

“感谢您阅读本篇博客！如果您觉得本文对您有所帮助或启发，请不吝点赞和分享给更多的朋友。您的支持是我持续创作的动力，也欢迎留言交流，让我们一起探讨技术，共同成长！谢谢！”

SRC信息资产整合

子域名收集两种方案

1 .** 挖掘机或onefofall收集到的域名可以使用httpx存活+网页截图确定是否挖掘
**​

2 .网络空间测绘虽然 能收集到更多的东西,但是导出比较麻烦所以适合单体侦察一个个点击查看灯塔资产收集其实相差不大

 1. 挖挖机、onefofall 网络空间测绘等等一系列子域名收集工具 集中收集子域名

 2. IP反查域名; 查询公司名旗下其他产品,但要注意接收范围

 3. 资产通过 Web-SurvivalScan存活扫描 筛选正常访问的子域名和不能访问的

 4. 资产导入 WebScrenn扫描资产网站并截图反馈选中有一个概念,优先测试功能点 优先测试好挖掘的

 5. 正常测试功能点看笔记姿势进行挖掘

 6. 接口爆破fuzz/目录爆破fuzz/JS文件 路径查找

 常规web挖掘结束对 403页面进行bypass

小程序 APP 产品 收集

1. APP使用七麦数据网站寻找 小程序微信搜一搜快速找到

2. 选择SRC旗下产品使用职友集或其他软件

Nday SRC中的挖掘方式

Nday攻击

网络测绘语句寻找SRC域名中的站点,通过icon图标辨识是否是cms亦或通达OA通过图标打系统,如SwaggerUI SwaggerUI redis

  谷歌语法 inurl:域名 系统 快速找到系统渗透 

  domain:"kuaishou.com" AND port:"80"       360网络空间检索语句

  (domain="qianxin.com")&&ip.port="80"      鹰图

语法找站

"系统" && org="China Education and Research Network Center"

下面全部都是某某系统,如果找到了一个就可以达到通杀的目的,通过这些系统来进行挖掘

下面这些图标都是可以点击的出现对应的 icon 值 icon_hash="-88638456

这里出现多少条独立的IP 就说明这个系统有多少个用户在使用

Nday利用注意观察版本号,一个如果是OA系统或者是CMS框架就可以去看佩奇文库找相关通杀的POC,包括上面的系统也是一样的,通杀上大分

攻击流程

查找一个站点的历史漏洞去攻击,有的没有修补就会造成之前的漏洞现在也可以

信息收集找到同班同学的学号密码直接进来了,观察系统使用的是正方软件

也可以插件查看 探测下 CMS!CMS!CMS,如果探测不到cms的话就去网上的cms探测平台还有是 右键尝试可以找到 JS文件 JS 文件可以爆出 CMS版本

找到根据框架的名称寻找到Nday去打

直接搜索漏洞一大堆都可以去试试看, 谷歌语法可以挨个去尝试,如果下面写了年份的话带入时间会更好, 信息收集也不会局限于子域名什么的,可以社工去加某个edu的表白墙,贴吧这种去看别人最新的学校 甚至是套路出默认的密码

intext: 正方软件教务系统

PeiQi 文库去找Nday,根据给到的语法去 fofa 网络测绘去找寻资产,同时佩奇文库给到了 POC如何去利用,自己一个一个刷过去捡洞

确认目标后同样去可以去各大 EXP POC 收录平台去整理攻击手法, 或是是再 GitHub 上找到别人的轮子来利用,下文的 py 脚本也是跟文库给出的POC一致的

工具收集信息

OneFoaall子域名

python oneforall.py --target example.com run

dirsearch字典爆破目录

# 默认字典爆破并保存链接为a.txt

python dirsearch.py -u https://www.jxmtc.edu.cn -o a.txt 

# -e指定语言 -w指定字典路径 -t线程 -r可视化直观 -x状态码 -o指定保存的

python dirsearch.py -u http://example.com -e php,html -w /path/to/wordlist.txt -t 50 -r -x 200,403

# 常用

python dirsearch.py -u http://example.com  -r -x 200,403 -o b.txt

URLFinder提取网站中的url链接和存在的js文件

# 单独扫描200的和403 -m指定抓取模式为深入抓取 -o 保存为exlce文件

URLFinder.exe -u https://mp.iqiyi.com/ -s 200,403 -m 3 -o b.csv

JSFinder¹ JS中寻找子域名+url

 -ou保存url路径  -os保存子域名
python JSFinder.py -u http://www.mi.com -d -ou mi_url.txt -os mi_subdomain.txt

arjun提取关键参数(适合fuzz)

arjun -u https://baidu.com

JS工具审计

前文工具查找中的各种JS文件其实二次利用,通过手动审计搜索关键字或者通过熊猫头插件进行检索

每一个JS文件都值得去这样操作,一个个点击开一个个检索,并且两款工具都去爆破JS

JS检索出的目录复制成.txt文件或者单独在BP里面加入然后对域名进行爆破也是可以的

1.  JS  文件中找到的子域名含义 cdn  去掉cdn去访问 

2. 403,404页面的绕过手段有插件和手动在路径的后面或者前一个路径插入 1/../   a/b 修改后为 a1/..b

3. 空白页面可能是遗漏的站,扫目录和 JS  文件

Fuzz爆破/接口路径

观察抓取到的数据包的接口,寻找共同函数的特征,爆破后面的数字或许会有未授权访问的接口或者功能可以先猜目录再猜参数网站就一个文件夹存放了很多的文件

/funtion123
/fun2334
/fun345

响应包出现我们不知道参数,第一先去JS中全局找这个参数看看有没有相似的路径拼接构造,有就拼;无则fuzz

---

1. 很多网站会通过ajax等方式来异步获取数据,JS 会存在链接,url可以做路径拼接 子域名可以测试
   返回码大都是405或者302，405是使用的http方法不对，302是由于接口做了鉴权直接跳转至登录页面了。。 ︎