个人博客
0%

发表于 更新于 分类于
本文字数: 1.6k 阅读时长 ≈ 1 分钟

思维导图

12信息打点

知识点:

  • 24、Web&备案信息&单位名称中发现小程序
  • 25、小程序资产静态提取&动态抓包&动态调试
    解决:
    1、如何获取到目标小程序信息
    2、如何从小程序中提取资产信息

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等
  • 技术:APK反编译/小程序解包反编译/动态调试APP&小程序等

小程序获取-各大平台&关键字搜索

-微信
-百度
-支付宝
-抖音头条

小程序体验-凡科建站&模版测试上线

测试:https://qz.fkw.com/
参考:https://blog.csdn.net/qq_52445443/article/details/122351865

  • 1.主体结构
    小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
    一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下: 
    1
    2
    3
    4
    文件                 必需               作用    
    app.js               是            小程序逻辑
    app.json             是            小程序公共配置
    app.wxss             否            小程序公共样式表
  • 2.一个小程序页面由四个文件组成,分别是: 
    1
    2
    3
    4
    xxx.js        页面逻辑
    xxx.json      页面配置
    xxx.wxml      页面结构
    xxx.wxss      页面样式
  • 3.项目整体目录结构 
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    pages                页面文件夹
    index                首页
    logs                 日志
    utils               
    util                 工具类(mina框架自动生成,你也可以建立一个:api)
    app.js               入口js(类似于java类中的main方法)、全局js
    app.json             全局配置文件
    app.wxss             全局样式文件
    project.config.json  跟你在详情中勾选的配置一样
    sitemap.json         用来配置小程序及其页面是否允许被微信索引

小程序抓包-Proxifier&BurpSuite联动

-对抓到的IP或域名进行Web安全测试
-对抓到的IP或域名进行API安全测试
-对抓到的IP或域名进行端口服务测试

小程序逆向-解包反编译&动态调试&架构

对源码架构进行分析
-更多的资产信息
-敏感的配置信息
-未授权访问测试
-源码中的安全问题
-小程序多功能组手
复杂操作:https://www.cnblogs.com/oodcloud/p/16964878.html
简单工具:http://xcx.siqingw.top/
-微信官方开发工具
https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

发表于 更新于 分类于
本文字数: 1.4k 阅读时长 ≈ 1 分钟

思维导图

12信息打点

知识点:

  • 22、Web&备案信息&单位名称中发现APP
  • 23、APP资产静态提取&动态抓包&动态调试
    解决:
    1、如何获取到目标APP信息
    2、如何从APP信息中提取资产

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

案例1:名称获取APP信息(爱企查/小蓝本/七麦/点点)

1、爱企查知识产权
2、七麦&点点查名称
https://www.xiaolanben.com/
https://aiqicha.baidu.com/
https://www.qimai.cn/
https://app.diandian.com/

案例2:URL网站备案查APP

1、查备案信息在搜
2、网站上有APP下载
3、市场直接搜单位名称

  • 1.通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。
    (1)资产信息-IP 域名 网站 -转到对应Web测试 接口测试 服务测试
    (2)泄露信息-配置key 资源文件 - key(osskey利用,邮件配置等)
    (3)代码信息-java代码安全问题- 逆向相关

  • 2.APP中收集资产
    (1)抓包-动态表现
    (2)提取-静态表现&动态调试
    (3)搜索-静态表现

  • 3.抓包抓表现出来的数据(动态)
    优点:没有误报
    缺点:无法做到完整

  • 4.反编译从源码中提取数据(静态)
    优点:数据较为完整
    缺点:有很多无用的资产

  • 5.动态调试从表现中提取数据
    优点:没有误报,解决不能抓包不能代理等情况
    优点;搞逆向的人能看到实时的app调用链等
    缺点:无法做到完整

案例3:某APP打开无数据包,登录有数据包

(反编译后未找到目标资产,抓包住到了)
原因:那个登录界面(点击登录,有交互)是APP打包的资源,并没有对外发送数据

案例4:APP提取信息-静态分析

1、MobSF
2、AppInfoScanner
3、两个在线平台
https://mogua.co/
https://www.zhihuaspace.cn:8888/(用静态功能)
https://github.com/kelvinBen/AppInfoScanner(静态分析工具)
https://github.com/MobSF/Mobile-Security-Framework-MobSF
4、Windows - MobSF安装参考:
https://www.cnblogs.com/B-hai/p/15696948.html
https://blog.csdn.net/ljh824144294/article/details/119181803

案例5:APP提取信息-动态抓包

-前期部分抓包技术

案例6:APP提取信息-动态调试

-MobSF+模拟器(重难点)

发表于 更新于 分类于
本文字数: 2k 阅读时长 ≈ 2 分钟

思维导图

12信息打点

知识点:

  • 19、CMS指纹识别-不出网程序识别
  • 20、开发框架识别-PHP&Python&Java
  • 21、开发组件识别-Java常见安全漏洞组件
    解决:
    1、CMS识别到后期漏洞利用和代码审计
    2、开发框架识别到后期漏洞利用和代码审计
    3、开发组件识别到后期漏洞利用和代码审计

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

后端:

CMS:一般PHP开发居多源码程序
(利用源码程序名去搜漏洞情况,源码去下载进行后期的代码审计)

前端:

js 框架(爬取更多的js从里面筛选URL或敏感泄漏key等)
也是可以通过对js代码逻辑进行代码审计

组件:

java居多,常见有过安全漏洞组件(shiro solr log4j sprintboot等)

框架:

php java python都有
简单代码的一个整合库,如果使用框架就只需要学习使用框架调用即可
如:文件上传功能是需要很多代码来实现的,框架把这个代码进行封封装,调用即可

影响:

如果采用框架开发,代码的安全性是取决于框架的过滤机制

组件:

第三方的功能模块(日志记录,数据监控,数据转换等)

Web架构:

  • 1、最简单最入门的开发模型(功能代码全部手写)
    最容易出现漏洞,程序员水平不一,没有第三方或团队的检测,单纯的自己写
  • 2、结合开发框架的开发模型(以框架为核心实现功能)
    第三方或团队的开发的封装代码框架,一般内置的过滤机制(框架漏洞)
  • 3、结合开发框架外加组件模型(以框架为核心,组件为辅实现功能)
    第三方或团队的开发的封装代码框架,一般内置的过滤机制(框架和组件漏洞)

指纹识别-本地工具-GotoScan(CMSEEK)

Python-开发框架-Django&Flask

Django

  • 1、识别插件(wappalyzer)
  • 2、Set-Cookie:expires=
    (数据包csrftoken)

Flask

  • 1、识别插件
  • 2、Set-Cookie:expires=
    (数据包flask)

PHP-开发框架-ThinkPHP&Laravel&Yii

ThinkPHP:

  • 1、识别插件
  • 2、X-Powered-By: ThinkPHP
  • 3、CMS识别到源码体系TP开发

Laravel:

  • 1、识别插件
  • 2、Set-Cookie中特征的格式
    (识别方式:XSRF-token/laravel-session)

Yii:

  • 1、识别插件
  • 2、Set-Cookie中特征的格式

Java-框架组件-Fastjson&Shiro&Solr&Spring

52类110个主流Java组件和框架介绍

Fastjson/Jackson

在提交JSON数据包中修改测试:
-Fastjson组件会把01解析成1
-Jackson组件在解析01时会抛出异常
https://forum.butian.net/share/1679
https://www.iculture.cc/forum-post/24115.html

Shiro

请求包的cookie中存在rememberMe字段
返回包中存在set-Cookie:remeberMe=deleteMe
请求包中存在rememberMe=x时,响应包中存在rememberMe=deleteMe
    有时候服务器不会主动返回remeberMe=deleteMe,直接发包即可,将Cookie内容改为remember Me=1,若相应包有rememberMe=deleteMe,则基本可以确定网站apache shiro搭建的

Struts2

一般使用struts2框架后缀带do或action,可以尝试进行利用

Springboot

1、通过web应用程序网页标签的小绿叶图标
2、通过springboot框架默认报错页面

Solr识别

一般开放8983端口,访问页面也可以探针到

发表于 更新于 分类于
本文字数: 2.2k 阅读时长 ≈ 2 分钟

思维导图

12信息打点

知识点:

  • 15、CDN服务-解释差异识别
  • 16、CDN绕过-配置差异导致
  • 17、CDN绕过-主动连接获取
  • 18、CDN绕过-全网扫描获取
    解决:
    1、CDN服务对安全影响
    2、CDN服务绕过识别手法

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

前置知识:

CDN绕过技术总汇

  • 1.传统访问:
    用户访问域名–>解析服务器IP–>访问目标主机

  • 2.普通CDN:
    用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机

  • 3.带WAF的CDN:
    用户访问域名–>CDN节点(WAF)–>真实服务器IP–>访问目标主机

  • 4.国内服务商:
    阿里云 百度云 七牛云
    又拍云 腾讯云 Ucloud
    360 网宿科技 ChinaCache

  • 5.国外服务商:
    CloudFlare StackPath Fastly
    Akamai CloudFront Edgecast
    CDNetworks Google Cloud CDN
    CacheFly Keycdn Udomain CDN77

CDN配置:(CND也可以防止DDOS)

  • 配置1:加速域名-需要启用加速的域名
  • 配置2:加速区域-需要启用加速的地区
  • 配置3:加速类型-需要启用加速的资源

参考知识:

渗透测试中最全的CDN绕过总结
超级Ping:http://www.17ce.com/
超级Ping:https://ping.chinaz.com/
接口查询:https://get-site-ip.com/
接口查询:https://fofa.info/extensions/source
国外请求:https://tools.ipip.net/cdn.php
国外请求:https://boce.aliyun.com/detect/
IP社区库:https://www.cz88.net/geo-public
全网扫描:https://github.com/Tai7sy/fuckcdn
全网扫描:https://github.com/boy-hack/w8fuckcdn
全网扫描:https://github.com/Pluto-123/Bypass_cdn

常见方法:
子域名,邮件系统,国外访问,证书查询,APP抓包,网络空间
通过漏洞或泄露获取,扫全网,以量打量,第三方接口查询等

前置后置-CDN服务-识别&绑定访问

超级Ping:http://17ce.com/
超级Ping:https://ping.chinaz.com/
各地ping(出现多个IP即启用CDN服务)
后置:绑定HOST访问解析(参考基础课CDN安全影响)

某应用-CDN绕过-主动漏洞&遗留文件

配置加速选项中只加速主域名,导致其他子域名未加速(解析IP可能同IP也可能C段)
接口查询:https://get-site-ip.com/(查询真实IP)
接口查询:https://fofa.info/extensions/source
使用网络空间&第三方功能集合查询判断

某应用-CDN绕过-主动漏洞&遗留文件

  • 1、漏洞如:SSRF RCE等
    利用漏洞让对方真实服务器主动出网连接,判断来源IP即真实IP
  • 2、遗留文件:phpinfo类似功能
    通过访问类似PHPINFO类似代码函数获取本地IP造成的地址泄漏

某应用-CDN绕过-邮件系统

判断条件:发信人是当前域名邮件用户名

让他主动给你发:

        部署架设的邮件服务器如果向外部用户发送邮件的话,那么邮件头部的源码中会包含此邮件服务器的真实IP地址。
常见的邮件触发点有:

  • 1、RSS订阅
  • 2、邮箱注册、激活处
  • 3、邮箱找回密码处
  • 4、产品更新的邮件推送
  • 5、某业务执行后发送的邮件通知
  • 6、员工邮箱、邮件管理平台等入口处的忘记密码

你给未知邮箱发:(需要自己的邮件服务器不能第三方)

        通过发送邮件给一个不存在的邮箱地址,因为该用户邮箱不存在,所以发送将失败,并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。

某应用-CDN绕过-全网扫描(最后的办法)

1、判断加速厂商
2、IP库筛地址段
3、配置范围扫描
先从IP段去扫描符合开放端口,再从IP去访问看看关键字,将符合结果进行保存!
厂商查询:
https://tools.ipip.net/cdn.php
工具项目:
https://www.cz88.net/geo-public
https://github.com/Tai7sy/fuckcdn

发表于 更新于 分类于
本文字数: 3.8k 阅读时长 ≈ 3 分钟

思维导图

12信息打点

知识点:

  • 12、端口扫描-应用&协议
  • 13、WAF识别-分类&识别
  • 14、蜜罐识别-分类&识别
    解决:
    1、Web服务器&应用服务器差异性
    2、WAF防火墙&安全防护&识别技术
    3、蜜罐平台&安全防护&识别技术

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等
端口 服务 渗透用途
tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089 各种常用的Web服务端口 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp 110 POP3 可尝试爆破,嗅探
tcp 111,2049 NFS 权限配置不当
tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143 IMAP 可尝试爆破
udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息
tcp 389 LDAP ldap注入,允许匿名访问,弱口令
tcp 512,513,514 Linux rexec 可爆破,rlogin登陆
tcp 873 Rsync 匿名访问,文件上传
tcp 1194 OpenVPN 想办法钓VPN账号,进内网
tcp 1352 Lotus 弱口令,信息泄漏,爆破
tcp 1433 SQL Server 注入,提权,sa弱口令,爆破
tcp 1521 Oracle tns爆破,注入,弹shell…
tcp 1500 ISPmanager 弱口令
tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网
tcp 2082,2083 cPanel 弱口令
tcp 2181 ZooKeeper 未授权访问
tcp 2601,2604 Zebra 默认密码zerbra
tcp 3128 Squid 弱口令
tcp 3312,3311 kangle 弱口令
tcp 3306 MySQL 注入,提权,爆破
tcp 3389 Windows rdp shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690 SVN svn泄露,未授权访问
tcp 4848 GlassFish 弱口令
tcp 5000 Sybase/DB2 爆破,注入
tcp 5432 PostgreSQL 爆破,注入,弱口令
tcp 5900,5901,5902 VNC 弱口令爆破
tcp 5984 CouchDB 未授权导致的任意指令执行
tcp 6379 Redis 可尝试未授权访问,弱口令爆破
tcp 7001,7002 WebLogic Java反序列化,弱口令
tcp 7778 Kloxo 主机面板登录
tcp 8000 Ajenti 弱口令
tcp 8009 tomcat Ajp Tomcat-Ajp协议漏洞
tcp 8443 Plesk 弱口令
tcp 8069 Zabbix 远程执行,SQL注入
tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令
tcp 9080-9081,9090 WebSphere Java反序列化/弱口令
tcp 9200,9300 ElasticSearch 远程执行
tcp 11211 Memcached 未授权访问
tcp 27017,27018 MongoDB 爆破,未授权访问
tcp 50070,50030 Hadoop 默认端口未授权访问


识别-Web服务器-请求返回包

识别-应用服务器-端口扫描技术

识别-其他服务协议-端口扫描技术

-Web中间件探针
-应用中间件探针
-数据库类型探针
-其他服务协议探针
端口扫描:Nmap、Masscan、网络空间
开放状态:Close Open Filtered
https://nmap.org/download.html
https://github.com/robertdavidgraham/masscan
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331
https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan: 

1
2
    masscan.exe -p端口 ipadddress
例:masscan.exe -p1-65535 192.168.43.176 --rate=10000

https://www.cnblogs.com/lzy575566/p/15513726.html
考虑:1、防火墙 2、内网环境
内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)

识别-WAF防火墙-看图&项目&指纹

1、WAF解释:

        Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

2、WAF分类:

  • 云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
  • 硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
  • 软件WAF:宝塔,安全狗、D盾等
  • 代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的

3、识别看图:

拦截页面,identywaf项目内置

4、识别项目:

识别-蜜罐平台-人工&网络空间&项目

蜜罐解释:

        蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类:

        根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

蜜罐产品:

见上图

识别原理:

https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

识别技术:

  • 1、测试
    大概了解组成功能等
    https://hfish.net/#/
    (虚拟机ubuntu开启环境,使用root运行:)

    1
    2
    sudo -i
    bash <(curl -sS -L https://hfish.net/webinstall.sh)

    登陆链接:https://[ip]:4433/web/ (192.168.43.50)

  • 2、项目
    项目识别
    https://github.com/graynjo/Heimdallr
    https://github.com/360quake/quake_rs
    quake.exe init apikey值
    quake.exe honeypot 目标

  • 3、人工
    *端口多而有规律性
    *Web访问协议就下载
    *设备指纹分析(见上图)

  • 4、网络空间
    鹰图,Quake

发表于 更新于 分类于
本文字数: 3.3k 阅读时长 ≈ 3 分钟

思维导图

12信息打点

知识点:

  • 8、JS前端架构-识别&分析
  • 9、JS前端架构-开发框架分析
  • 10、JS前端架构-打包器分析
  • 11、JS前端架构-提取&FUZZ
    解决:
    1、如何从表现中的JS提取价值信息
    2、如何从地址中FUZZ提取未知的JS文件
    3、如何从JS开放框架WebPack进行测试

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

补充:

  • CMS:
    Discuz、WordPress、Ecshop、蝉知等
  • 前端技术:
    HTML5、jquery、bootstrap、Vue等
  • 开发语言:
    PHP、JAVA、Ruby、Python、C#,JS等
  • Web服务器:(中间件)
    Apache、Nginx、IIS、lighttpd,Apache等
  • 应用服务器:
    (应用服务器特点就是会开放一个端口,web和应用服务器是针对不同服务类型的特点就是会开放一个端口,web和应用服务器是针对不同服务类型的)
    Tomcat、Jboss、Weblogic、Websphere等
  • 数据库类型:
    Mysql、SqlServer、Oracle、Redis、MongoDB等
  • 操作系统信息:
    Linux、windows等
  • 应用服务信息:
    FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等
  • CDN信息:
    帝联、Cloudflare、网宿、七牛云、阿里云等
  • WAF信息:
    创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等
  • 蜜罐信息:
    HFish、TeaPot、T-Pot、Glastopf等
  • 其他组件信息:
    fastjson、shiro、log4j、OA办公等

1、什么是JS渗透测试?

        在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS中寻找更多的URL地址,在JS代码逻辑(加密算法,APIkey配置,验证逻辑等)进行后期安全测试。
前提:Web应用可以采用后端或前端语言开发
-后端语言:php java python .NET 浏览器端看不到真实的源代码
-前端语言:JavaScript(JS)和JS框架 浏览器端看到真实的源代码
例子:
zblog:核心功能采用PHP语言去传输接受
vue.js:核心功能采用框架语法(JS)传输接受

2、JS安全问题

源码泄漏
未授权访问=JS里面分析更多的URL访问确定接口路径
敏感key泄漏=JS文件中可能配置了接口信息(云应用,短信,邮件,数据库等)
API接口安全=(代码中加密提交参数传递,更多的URL路径)

3、流行的Js框架有那些?

Vue NodeJS jQuery Angular等

4、如何判定JS开发应用?

插件wappalyzer
源程序代码简短
引入多个js文件
一般有/static/js/app.js等顺序的js文件
一般cookie中有connect.sid

5、如何获取更多的JS文件?

手工-浏览器搜索
半自动-Burpsuite插件
工具化-各类提取&FUZZ项目

6、如何快速获取价值信息?

1
2
3
4
5
6
7
8
9
src=  
path=  
method:"get"  
http.get("  
method:"post"  
http.post("  
$.ajax  
http://service.httppost  
 http://service.httpget

前端架构-手工搜索分析

浏览器全局搜索分析

前端架构-半自动Burp分析

自带功能:Target->sitemap->Engagement tools->Find scripts
官方插件:JS Link Finder & JS Miner
第三方插件:HaE & Unexpected_information
插件加载器:jython-standalone-2.7.2
Unexpected_information:
https://github.com/ScriptKid-Beta/Unexpected_information
用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们疏忽了一些数据包,使用它可能会有意外的收获信息。
HaE:
https://github.com/gh0stkey/HaE
https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml
基于BurpSuite插件JavaAPI开发的请求高亮标记与信息提取的辅助型插件。该插件可以通过自定义正则的方式匹配响应报文或请求报文,可以自行决定符合该自定义正则匹配的相应请求是否需要高亮标记、信息提取。

前端架构-自动化项目分析

  • Jsfinder-从表现中JS中提取URL或者敏感数据
    https://github.com/Threezh1/JSFinder
    一款用作快速在网站的js文件中提取URL,子域名的工具

  • URLFinder-从表现中JS中提取URL或者敏感数据
    https://github.com/pingc0y/URLFinder
    一款用于快速提取检测页面中JS与URL的工具。
    功能类似于JSFinder,但JSFinder好久没更新了。

URLFinder-windows-amd64.exe -u url -s all -m 2

ffuf.exe -w 字典.txt -u http://xxx.xxx.com/FUZZ -t 200

  • Packer-Fuzzer-针对JS框架开发打包器Webpack检测(扫描完后生成报告)
    https://github.com/rtcatc/Packer-Fuzzer
    一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具

python Packer-Fuzzer.py -u http://xxx.xxx.com

发表于 更新于 分类于
本文字数: 2.8k 阅读时长 ≈ 3 分钟

思维导图

12信息打点

知识点:

  • 5、开源-CMS指纹识别源码获取方式
  • 6、闭源-习惯&配置&特性等获取方式
  • 7、闭源-托管资产平台资源搜索监控

章节点

  • Web:语言/CMS/中间件/数据库/系统/WAF等
  • 系统:操作系统/端口服务/网络环境/防火墙等
  • 应用:APP对象/API接口/微信小程序/PC应用等
  • 架构:CDN/前后端/云应用/站库分离/OSS资源等
  • 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
  • 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

指纹识别

    关于网站指纹识别,可以使用插件,也可以使用在线识别工具
    当然,如果实在内网情况,没办法使用在线识别网站,这时间我们可以使用工具WhatWeb 进行识别
    最重要的,可以根据一些特征,直接判断是什么cms或者框架,例如spring ico文件是一片树叶
    还可以根据报错等进行判断,这些就需要自己平时多进行搜集,多关注一些就可以

标签 名称 地址
指纹识别 在线cms指纹识别 http://whatweb.bugscaner.com/look/
指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer
指纹识别 TideFinger潮汐 http://finger.tidesec.net/
指纹识别 云悉指纹 https://www.yunsee.cn/
指纹识别 WhatWeb https://github.com/urbanadventurer/WhatWeb
指纹识别 数字观星Finger-P https://fp.shuziguanxing.com/#/

后端-开源-指纹识别-源码下载

CMS识别见上述项目

后端-闭源-配置不当-源码泄漏

参考:https://www.secpulse.com/archives/124398.html
备份:敏感目录文件扫描
CVS:https://github.com/kost/dvcs-ripper
GIT:https://github.com/lijiejie/GitHack
SVN:https://github.com/callmefeifei/SvnHack
DS_Store:https://github.com/lijiejie/ds_store_exp

源码泄漏原因:
1、从源码本身的特性入口
2、从管理员不好的习惯入口
3、从管理员不好的配置入口
4、从管理员不好的意识入口
5、从管理员资源信息搜集入口
源码泄漏集合:
composer.json(https://zhuanlan.zhihu.com/p/487883420)
git源码泄露
svn源码泄露
hg源码泄漏
网站备份压缩文件
WEB-INF/web.xml 泄露
    (WEB.xml:应用程序配置文件,描述了SErvlet和其它应用配置及命名规则。
    classes:含所有classes文件
    lib:存放应用的各种jAR文件
    src:源文件
    database.properties:数据库配置文件)
DS_Store 文件泄露
SWP 文件泄露
CVS泄露
Bzr泄露
GitHub源码泄漏

后端-方向-资源GITHUB-源码泄漏

解决1:识别出大致信息却无下载资源(oschina、github、gitee)
解决2:未识别出信息使用码云资源获取
解决3:其他行业开发使用对口资源站获取
涉及:(oschina)
https://gitee.com/
https://github.com/
https://www.huzhan.com/

  • GITHUB资源搜索: 
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    in:name test               #仓库标题搜索含有关键字   
    in:descripton test         #仓库描述搜索含有关键字   
    in:readme test             #Readme文件搜素含有关键字   
    stars:>3000 test           #stars数量大于3000的搜索关键字   
    stars:1000..3000 test      #stars数量大于1000小于3000的搜索关键字  
    forks:>1000 test           #forks数量大于1000的搜索关键字(考虑路由)     
    forks:1000..3000 test      #forks数量大于1000小于3000的搜索关键字  
    size:>=5000 test           #指定仓库大于5000k(5M)的搜索关键字
    pushed:>2019-02-12 test    #发布时间大于2019-02-12的搜索关键字  
    created:>2019-02-12 test   #创建时间大于2019-02-12的搜索关键字  
    user:test                  #用户名搜素   
    license:apache-2.0 test    #明确仓库的 LICENSE 搜索关键字   
    language:java test         #在java语言的代码中搜索关键字   
    user:test in:name test     #组合搜索,用户名test的标题含有test的
  • 关键字配合谷歌搜索: 
    1
    2
    3
    4
    5
    6
    7
    site:Github.com smtp     
    site:Github.com smtp @qq.com     
    site:Github.com smtp @126.com   
    site:Github.com smtp @163.com   
    site:Github.com smtp @sina.com.cn   
    site:Github.com smtp password   
    site:Github.com String password smtp

发表于 更新于 分类于
本文字数: 2.7k 阅读时长 ≈ 2 分钟

思维导图

知识点:

1、业务资产-应用类型分类
2、Web单域名获取-接口查询
3、Web子域名获取-解析枚举
4、Web架构资产-平台指纹识别

章节点

Web:语言/CMS/中间件/数据库/系统/WAF等
系统:操作系统/端口服务/网络环境/防火墙等
应用:APP对象/API接口/微信小程序/PC应用等
架构:CDN/前后端/云应用/站库分离/OSS资源等
技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等

标签 名称 地址
企业信息 天眼查 https://www.tianyancha.com/
企业信息 小蓝本 https://www.xiaolanben.com/
企业信息 爱企查 https://aiqicha.baidu.com/
企业信息 企查查 https://www.qcc.com/
企业信息 国外企查 https://opencorporates.com/
企业信息 启信宝 https://www.qixin.com/
备案信息 备案信息查询 http://www.beianx.cn/
备案信息 备案管理系统 https://beian.miit.gov.cn/
公众号信息 搜狗微信搜索 https://weixin.sogou.com/
注册域名 域名注册查询 https://buy.cloud.tencent.com/domain
IP反查 IP反查域名 https://x.threatbook.cn/
IP反查 IP反查域名 http://dns.bugscaner.com/
DNS数据 dnsdumpster https://dnsdumpster.com/
证书查询 CertificateSearch https://crt.sh/
网络空间 FOFA https://fofa.info/
网络空间 全球鹰 http://hunter.qianxin.com/
网络空间 360 https://quake.360.cn/quake/#/index
威胁情报 微步在线 情报社区 https://x.threatbook.cn/
威胁情报 奇安信 威胁情报中心 https://ti.qianxin.com/
威胁情报 360 威胁情报中心 https://ti.360.cn/#/homepage
枚举解析 在线子域名查询 http://tools.bugscaner.com/subdomain/
枚举解析 DNSGrep子域名查询 https://www.dnsgrep.cn/subdomain
枚举解析 工具强大的子域名收集器 https://github.com/shmilylty/OneForAll
指纹识别 在线cms指纹识别 http://whatweb.bugscaner.com/look/
指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer
指纹识别 TideFinger潮汐 http://finger.tidesec.net/
指纹识别 云悉指纹 https://www.yunsee.cn/
指纹识别 WhatWeb https://github.com/urbanadventurer/WhatWeb
指纹识别 数字观星Finger-P https://fp.shuziguanxing.com/#/
网络空间 钟馗之眼 https://www.zoomeye.org/?R1nG
网络空间 零零信安 https://0.zone/
网络空间 Shodan https://www.shodan.io/
网络空间 Censys https://censys.io/
网络空间 ONYPHE https://www.onyphe.io/
网络空间 FullHunt https://fullhunt.io/
网络空间 Soall Search Engine https://soall.org/
网络空间 Netlas https://app.netlas.io/responses/
网络空间 Leakix https://leakix.net/
网络空间 DorkSearch https://dorksearch.com/
威胁情报 VirusTotal在线查杀平台 https://www.virustotal.com/gui/
威胁情报 VenusEye 威胁情报中心 https://www.venuseye.com.cn/
威胁情报 绿盟科技 威胁情报云 https://ti.nsfocus.com/
威胁情报 IBM 情报中心 https://exchange.xforce.ibmcloud.com/
威胁情报 天际友盟安全智能平台 https://redqueen.tj-un.com/IntelHome.html
威胁情报 华为安全中心平台 https://isecurity.huawei.com/sec/web/intelligencePortal.do
威胁情报 安恒威胁情报中心 https://ti.dbappsecurity.com.cn/
威胁情报 AlienVault https://otx.alienvault.com/
威胁情报 深信服 https://sec.sangfor.com.cn/analysis-platform
威胁情报 丁爸情报分析师的工具箱 http://dingba.top/
威胁情报 听风者情报源 start.me https://start.me/p/X20Apn
威胁情报 GreyNoise Visualizer https://viz.greynoise.io/
威胁情报 URLhaus 数据库 https://urlhaus.abuse.ch/browse/
威胁情报 Pithus https://beta.pithus.org/

业务资产:

1、WEB应用
2、APP应用
3、PC端应用
4、小程序应用
5、微信公众号
6、其他产品等

WEB单域名:

1、备案信息
2、企业产权
3、注册域名
4、反查解析

WEB子域名:

1、DNS数据
2、证书查询(https)
3、网络空间
4、威胁情报
5、枚举解析(爆破子域)

Web架构资产:(指纹识别)

1、程序语言
2、框架源码(纯内网识别cms用工具cmsmap、cmseek)
3、搭建平台
4、数据库类
5、操作系统

发表于 更新于 分类于
本文字数: 625 阅读时长 ≈ 1 分钟

Chatgpt大概科普

1、ChatGPT是什么?

https://openai.com/blog/chatgpt/
ChatGPT–可能很多人被这个缩写的名字搞糊涂了,第一眼无法看出到底什么意思,GPT 的英文原文是 Generative Pre-training Transformer(预训练生成模型),业界有人将 ChatGPT 概括为聊天机器人+搜索工具+文本创造工具的组合,或者简单理解它是一个生成式 AI(内容生成器)。

2、ChatGPT能做什么?

它的主要功能是协助回答问题、提供信息和生成有关历史、科学、地理等各种主题的信息,这些信息仅限于它所接受的训练,但其知识在不断扩展。

3、ChatGPT牛在哪里?

(1)它是个通用的模型,只要提示词引导,就能快速适应不同领域。
(2)它能理解你的问题,只要给的引导越多,它就能给出你想要的答案。
安全行业影响:
(1)整合多种恶意软件
(2)提升漏洞发现能力
(3)给新手攻击者赋能
(4)便于社会工程学攻击
(5)快速筛选和锁定目标
(6)模拟网络防御攻击技术
利用:
– 安全开发
1、如何使用Python写一个jwt爆破脚本?
2、如何使用Python写一个Webshell检测脚本?
3、如何使用Python写一个MS17010漏洞检测脚本?
4、使用PHP开发一个免杀混淆复杂的webshell脚本
4.1、在渗透测试靶机中,发现PHP脚本被禁用了敏感函数,如何生成一个绕过的webshell
– 逆向免杀

  • 注册教程
    百度即可

发表于 更新于 分类于
本文字数: 1.4k 阅读时长 ≈ 1 分钟

思维导图

1基础入门

知识点:

  • 21、HTTP/S数据包请求与返回
  • 22、请求包头部常见解释和应用
  • 23、返回包状态码值解释和应用
  • 24、HTTP/S测试工具Postman使用

章节点

  • 应用架构:Web/APP/云应用/小程序/负载均衡等
  • 安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等
  • 渗透命令:文件上传下载/端口服务/Shell反弹等
  • 抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等
  • 算法加密:数据编码/密码算法/密码保护/反编译/加壳等

代理请求
request包
response包
get请求
post请求

数据-方法&头部&状态码

  • 方法
    1、常规请求-Get
    2、用户登录-Post
    •get:向特定资源发出请求(请求指定页面信息,并返回实体主体);
    •post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改;
    •head:与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与get请求类似,返回的响应中没有具体内容,用于获取报头);
    •put:向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容),与post的区别是put为幂等,post为非幂等;
    •trace:回显服务器收到的请求,用于测试和诊断。trace是http8种请求方式之中最安全的l
    •delete:请求服务器删除request-URL所标示的资源(请求服务器删除页面)
    •option:返回服务器针对特定资源所支持的HTML请求方法 或web服务器发送    测试服务器功能(允许客户 端查看服务器性能);
    •connect : HTTP/1.1协议中能够将连接改为管道方式的代理服务器

  • 参数
    演示:
    1、UA头-设备平台
    2、Cookie-身份替换
    见上图

  • Response状态码
    1、数据是否正常
    2、文件是否存在
    3、地址自动跳转
    4、服务提供错误
    注:容错处理识别

    状态码 描述
    -1xx 指示信息—表示请求已接收,继续处理。
    -2xx 成功—表示请求已经被成功接收、理解、接受。
    -3xx 重定向—要完成请求必须进行更进一步的操作。
    -4xx 客户端错误—请求有语法错误或请求无法实现。
    -5xx 服务器端错误—服务器未能实现合法的请求。
    -200 OK:客户端请求成功
    -301 redirect:页面永久性移走,服务器进行重定向跳转;
    -302 redirect:页面暂时性移走,服务器进行重定向跳转,具有被劫持的安全风险;
    -400 BadRequest:由于客户端请求有语法错误,不能被服务器所理解;
    -401 Unauthonzed:请求未经授权。
    -403 Forbidden:服务器收到请求,但是拒绝提供服务。
    -404 NotFound:请求的资源不存在,例如,输入了错误的URL;
    -500 InternalServerError:服务器发生不可预期的错误,无法完成客户端的请求;
    -503 ServiceUnavailable:服务器当前不能够处理客户端的请求

案例-文件探针&登录爆破

-实验:
1、页面正常访问
2、网站文件探针
3、后台登录爆破

工具-Postman自构造使用

https://zhuanlan.zhihu.com/p/551703621