一波三折，终于找到src漏洞挖掘的方法了【建议收藏】

0x01 信息收集

Google Hack实用语法

迅速查找信息泄露、管理后台暴露等漏洞语法，例如：

filetype:txt 登录
filetype:xls 登录
filetype:doc 登录
intitle:后台管理
intitle:login
intitle:后台管理  inurl:admin
intitle:index of /

查找指定网站，再加上site:http://example.com，例如：

site:example.com filetype:txt 登录
site:example.com intitle:后台管理
site:example.com admin
site:example.com login
site:example.com system
site:example.com 管理
site:example.com 登录
site:example.com 内部
site:example.com 系统

关键词可以根据实际情况进行调整，推荐Google、Bing，搜索内容如果被删除，网页快照一般仍会有记录。

Shodan、fofa网络资产搜索引擎

Shodan、fofa、zoomeye、360quake等网络资产搜索引擎可以用来搜索网络空间中在线设备，功能十分强大，相当于网络安全界的google：

尤其是现在支持icon图标、logo搜索，那是方便的一比

比如对某IP进行信息检索，点击view raw data：

找到data.0.http.favicon.data字段：

搜索相应的值即可根据企业logo查询资产：

http.favicon.hash:-1507567067

推荐安装shodan chrome 插件，方便进行查看和使用：

https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

fofa是国内的一款网络空间资产搜索引擎，与shodan类似，常见搜索语法：

title="abc" 从标题中搜索abc。例：标题中有北京的网站
header="abc" 从http头中搜索abc。例：jboss服务器
body="abc" 从html正文中搜索abc。例：正文包含Hacked by
domain="qq.com" 搜索根域名带有qq.com的网站。例： 根域名是qq.com的网站
host=".gov.cn" 从url中搜索.gov.cn,注意搜索要用host作为名称。例： 政府网站, 教育网站
port="443" 查找对应443端口的资产。例： 查找对应443端口的资产
...

实用查询语句：

body="关键词1" && country=CN&&title="关键词2"

可以快速定位国内想要搜索的网站信息。

子域名收集

推荐几个好用的工具：

JSFinder

在网站的JS文件中，会存在各种对测试有帮助的内容，JSFinder可以帮助我们获取到JS中的url和子域名的信息，拓展我们的渗透范围。爬取分为普通爬取和深度爬取，深度爬取会深入下一层页面爬取JS，时间会消耗的更长，流程如下：

Sublist3r

Sublist3r是一个python版工具，其设计原理是基于通过使用搜索引擎，从而对站点子域名进行列举。Sublist3r目前支持以下搜索引擎：Google, Yahoo, Bing, 百度以及Ask，而未来将支持更多的搜索引擎。目前，Sublist3r同样也通过Netcraft以及DNSdumpster获取子域名。

云悉

云悉可以在线搜集子域名、ip段、CMS指纹等信息

0x02 微信公众号抓包技巧

企业微信公众号可以大大拓宽我们的测试范围，公众号部分链接可以直接复制到浏览器中打开，然后按照常规的渗透测试方法进行，但是有的链接复制到浏览器后，会出现下图情况

对于这种情况，可以通过安卓模拟器抓微信包、真机微信抓包的方式解决，但都相对不太方便，和大家分享通过SocksCap64直接抓微信PC端的流量方法。

SocksCap64是一款功能非常强大的代理客户端，支持http/https、socks4/5、TCP、UDP等协议，在内网渗透中经常使用，同样可以用他来代理微信PC客户端的流量，并将流量转发至burp中，就可以进行抓包分析。

首先还是在burp中设置监听：

然后在SocksCap64中设置代理服务器为burp的地址和端口，代理方式HTTP：

测试一下，是否成功：

然后利用SocksCap64启动微信：

即可成功抓到微信PC端的流量：

0x03 登录界面思路

0x04 短信&邮件轰炸绕过

在网站测试的过程中，常常在用户注册登录时出现手机号/邮箱注册，这里就可能出现短信&邮件炸漏洞，此类漏洞测试比较方便，虽然有的站点做了防护，但也有一些绕过的办法。

这里收集了部分目前较为流行的临时接收短信的网站，方便用于测试：

https://www.pdflibr.com/

http://www.z-sms.com/

https://www.receive-sms-online.info/

[国内] http://www.smszk.com/

[国外] http://receive-sms-online.com/

[国外] https://smsnumbersonline.com/

[国外] https://www.freeonlinephone.org/

[国外] https://sms-online.co/receive-free-sms

在应用手机号/邮箱和验证码作为用户登录凭证时，一般涉及到的网站功能点主要包括：

账号注册 首次设置密码时用户身份校验 账号登录 重置密码 绑定手机/邮箱 修改绑定手机/邮箱 免费试用/活动领取/反馈处 …

常见的测试和绕过手段：

0x05 逻辑漏洞

随着开发人员安全意识的日益加强，IPS/IDS、WAF、全流量检测等防护设备的不断部署，传统的SQL注入漏洞、命令执行等漏洞正变得越来越少，或者越来越难挖（需要绕过各种防御设备）。但业务逻辑漏洞几乎可以bypass一切传统的安全防护设备，目前还没有非常有效的防御手段。同时，业务逻辑纷繁复杂，再资深的程序员也可能挖坑，所以只要基础扎实，逻辑思维能力强，耐心细心，不放过任何一个步骤，此类漏洞比较容易挖。

1、修改返回包的越权

场景1：修改手机号

一般的修改逻辑为：认证原手机号 -> 填写新手机号 -> 提交修改

如果在进行下一步操作时，没有校验上一步的认证是否成功时，就会存在逻辑缺陷绕过。 比如在第一步认证原手机号时，随意输入验证码，将response包中的相关字段进行修改，比如0改成1，false改成true，即可绕过第一步验证，进入填写新手机号界面，如果第三步提交修改时没有验证第一步的结果，就会造成逻辑漏洞。

场景2：登录绕过

部分网站的身份验证放在了前端，因此只需要将response包中的相关字段进行修改，比如0改成1，false改成true，就可以登录任意用户账号。

2、水平越权

场景1：遍历ID 在一些请求中，GET或POST中有明显的id数字参数（手机号、员工号、账单号、银行卡号、订单号等等），可以尝试进行遍历，如果程序没有对当前权限进行判断，就会存在水平越权问题。

场景2：ID替换 如果程序对用户标识进行了hash或者加密，而又无法破解用的什么加密方式的话，就无法通过遍历ID来获取其他用户信息了。此时可以尝试注册两个账号，通过替换两个ID加密后的值，判断程序是否对权限进行了验证，如果没有，也会存在越权问题。

3、垂直越权

观察cookie中的session字段，猜测修改，发现： level=1： admin level=2： vip user level=3： normal user

安全建议：

一、防范病毒或木马的攻击的方法：

1．为计算机安装杀毒软件，定期扫描系统、查杀病毒；

2．及时更新病毒库、更新系统补丁；

3．下载软件时尽量到官方网站或大型软件下载网站，在安装或打开来历不明的软件或文件前先杀毒；

4．不随意打开不明网页链接，尤其是不良网站的链接，陌生人通过QQ给自己传链接时，尽量不要打开；

5．使用网络通信工具时不随便接收陌生人的文件，若接收可取消“隐藏已知文件类型扩展名“功能来查看文件类型；

6．对公共磁盘空间加强权限管理，定期查杀病毒；

7．打开移动存储器前先用杀毒软件进行检查，可在移动存储器中建立名为autorun.inf的文件夹（可防U盘病毒启动）；

8．需要从互联网等公共网络上下载资料转入内网计算机时，用刻录光盘的方式实现转存；

9．对计算机系统的各个账号要设置口令，及时删除或禁用过期账号；

10．定期备份，当遭到病毒严重破坏后能迅速修复。

二、预防QQ、微信、微博等社交平台账号被盗的方法

1．账户和密码尽量不要相同，定期修改密码，增加密码的复杂度，不要直接用生日、电话号码、证件号码等有关个人信息的数字作为密码；

2．密码尽量由大小写字母、数字和其他字符混合组成，适当增加密码的长度并经常更换；

3．不同用途的网络应用，应该设置不同的用户名和密码；

4．在网吧使用电脑前重启机器，警惕输入账号密码时被人偷看；为防账号被侦听，可先输入部分账号名、部分密码，然后再输入剩下的账号名名、密码；

5．涉及网络交易时，要注意通过电话与交易对象本人确认。

三、安全使用电子邮件注意事项

1．不要随意点击不明邮件中的链接、图片和文件；

2．使用邮箱地址作为网站注册的用户名时，应设置与原邮箱登录密码不相同的网站密码；

3．如果有初始密码，应修改密码；

4．适当设置找回密码的提示问题；

5．当收到与个人信息和金钱相关（如中奖、集资等）的邮件时要提高警惕。

四、钓鱼网站防范方法

1．通过查询网站备案信息等方式核实网站资质的真伪；

2．安装安全防护软件；

3．要警惕中奖、修改网银密码的通知邮件、短信，不要轻意点击未经核实的陌生链接；

4．不要在网吧、宾馆等公共电脑上登录个人账号或进行金融业务等。

五、防范社交网站信息泄露防范

1．利用社交网站的安全与隐私设置保护敏感信息；

2．不要轻易点击未经核实的链接；

3．在社交网站谨慎发布个人信息；

4．根据自己对网站的需求进行注册。

六、防范个人信息泄露的方法

1.在安全级别较高的物理或逻辑区域内处理个人敏感信息；

2.敏感个人信息需加密保存；

3.不使用U盘存储交互个人敏感信息；

4.尽量不要在可访问互联网的设备上保存或处理个人敏感信息；

5.只将个人信息转移给合法的接受者；

6.个人敏感信息需带出公司时要防止被盗、丢失；

7.电子邮件发送时要加密，并注意不要错发；

8.邮包寄送时选择可信赖的邮寄公司，并要求回执；

9.避免传真错误发送；

10.纸质资料要用碎纸机销毁；

11.废弃的光盘、U盘、电脑等要消磁或彻底破坏。

七、防范假冒网站的方法

1.直接输入所要登陆网站的网址，不通过其他链接进入；

2.登录网站后留意核对所登录的网址与官方公布的网址是否相符；

3.登录官方发布的相关网站辨识真伪；

4.安装防护软件，及时更新系统补丁；

5.当收到邮件、短信、电话等要求到指定的网页修改密码，或通知中奖并要求在领取奖金前先支付税金、邮费等时，务必提高警惕。

八、保护网上购物安全的方法

1.核实网站资质及网站联系方式的真伪，尽量到知名权威的网上商城购物；

2.尽量通过网上第三方支付平台交易，切忌直接与卖家私下交易；

3.在购物时要注意商家的信誉、评价和联系方式；

4．在交易完成后要完整保存交易订单等信息；

5.在填写支付信息时，一定要检查支付网站的真实性；

6.注意保护个人隐私，直接使用个人的银行账号、密码和证件号码等敏感信息时要慎重；

7.不要轻信网上低价推销广告，也不要随意点击未经核实的陌生链接。

九、防范网络传销的方法

1.在遇到相关创业、投资项目时，要仔细研究其商业模式。无论打着什么样的旗号，如果其经营的项目并不创造任何财富，却许诺只要交钱入会，会发展人员就能获取“回报”，请提高警惕。

2.克服贪欲，不要幻想“一夜暴富”。如果抱着侥幸心理参与其中，最终只会落得血本无归、倾家荡产，甚至走向犯罪的道路。

十、安全使用WI-Fi的方法

1.勿见到免费WI-Fi就使用，要用可靠的WI-Fi接入点，关闭手机和平板电脑等设备的无线网络自动连接功能，仅在需要时开启；

2.警惕公共场所免费的无线信号为不法分子设置的钓鱼陷阱，尤其是一些和公共场所内已开放的WI-Fi同名的信号。在公共场所使用陌生的无线网络时，尽量不要进行与资金有关的银行转账与支付；

3.修改无线路由器默认的管理员用户和密码，将家中无线路由器的密码设置得复杂一些，并采用强密码，最好是字母、数字和特殊符号的组合；

4.无人使用时，关闭无线路由器电源。

十一、保证使用智能手机安全的方法

1.为手机设置访问密码是保护手机安全的第一道防线，以防智能手机丢失时，犯罪分子可能会获得通讯录、文件等重要信息并加以利用；

2.不要轻易打开陌生人通过手机发送的链接和文件；

3．为手机设置锁屏密码，并将手机随身携带；

4.在QQ、微信等应用程序中关闭地理定位功能，并仅在需要时开启蓝牙；

5．常为手机数据做备份；

6．装安全防护软件，并经常对手机系统进行扫描；

7．权威网站下载手机应用软件，并在安装时谨慎选择相关权限；

8.不要试图破解自己的手机，以保证应用程序的安全性。

十二、保护手机支付安全的方法

建议手机支付客户端与手机绑定，使用数字证书，开启实名认证；

最好从官方网站下载手机支付客户端和网上商城应用；

使用手机支付服务前，按要求在手机上安装专门用于安全防范的插件；

登陆手机支付应用、网上商城时，勿选择“忘记密码”选项；

经常查看手机任务管理器，检查是否有恶意程序在后台运行，并定期使用手机安全系统软件扫描手机系统；

无论以何种理由要求你把资金打入陌生人账户、安全账户的行为都是诈骗犯罪。切勿上当受骗！

十三、网络诈骗类型辨别方法

1．利用QQ盗号和网络游戏交易进行诈骗，冒充好友借钱；

2．网络购物诈骗，收取订金骗钱；

3．网上中奖诈骗，指犯罪分子利用传播软件随意向互联网QQ用户、邮箱用户、网络游戏用户、淘宝用户等发布中奖提示信息；

4．“网络钓鱼”诈骗，利用欺骗性的电子邮件和伪造的互联网站进行诈骗活动，获取受骗者财务信息进而窃取资金；

十四、防范网络虚假、有害信息方法

1．及时举报类似谣言信息；

2．不造谣，不信谣，不传谣；

3．要注意辨别信息的来源和可靠度，要通过经第三方可信网站认证的网站获取信息；

4．要注意打着“发财致富”“普及科学”，传授“新技术”等幌子的信息；