題記

今天看到這篇好文章，絕了，又學到很多好姿勢，分享給大家，轉載地址我已經標好，學安全的強烈推薦看一下F12這個社區的文章，畢竟自學安全的話都說先拿學校練手嗎，挖洞是運氣與實力相結合，我還是個菜雞，有沒有大佬看上我讓我加個安全團隊。

　　

前言

每一次成功的滲透，都有一個非常完備的信息搜集。

大師傅講的好呀：信息搜集的廣度決定了攻擊的廣度，知識面的廣度決定了攻擊的深度。

在goby亂掃的開始，我也是菜弟弟一樣，看到什么都沒感覺，直到有個師傅提醒了我：這不是Sprint boot框架么，洞這么多還拿不下？

這也就導致了我后來的一洞百分。

（只會偷大師傅思路的屑弟弟）

一 信息搜集

信息搜集可以從多個領域來看

公司，子公司，域名，子域名，IPV4，IPV6，小程序，APP，PC軟件等等等等 我主要在EDUsrc干活，各大高校也是算在公司內的

比如某某大學，我們查到大學后還能干什么呢？

那么我們就可以重點關注備案網站，APP，小程序，微信公眾號，甚至于微博，

微博地點，將他們轉換為我們的可用資源。

企查查是付費的，我一般使用的是小藍本

這樣，域名，小程序，微信公眾號，一網打盡，是不是感覺挺輕松的？

有了域名之后，我們該如何是好了呢？

那當然是爆破二級域名，三級域名，我們可以選擇OneforALL，驗證子域名，然后使用masscan驗證端口，但是我一般使用的是子域名收割機（當然layer也可以）

這里因為工具不是我本人的，不方便提供。

他會將IPV4,IPV6,部分域名都提供，那么我們先從IP入手

IP我們可以做什么呢？

我們已經知道某個ip屬于教育網段，那么怎么具體知道其他ip呢？

我們可以定位WHOIS

whois中包含了用戶，郵箱，以及購買的網段！

沒錯，購買的網段！

有了這個，媽媽再也不用擔心我打偏了（狗頭）

有了網段，我們大可以開展下一步

1.1 主動信息搜集

在主動信息搜集的時候，我們可以使用一些強大的資產測繪工具，goby（目前在用），資產測繪還是挺不錯的，他會有一些web服務，可以供你撿漏，不要擔心沒有banner，有時候goby也不認識呢！

1.2 被動信息搜集

被動信息搜集就是使用一些在線的大量爬取的網站。

因為這些語法網上蠻多的，（個別）就不拿具體網站做展示了。

Google hack語法

百度語法

Fofa語法

shodan語法

鐘馗之眼

微步在線

Google

我們先來看Google，Google語法大家可能都比較熟悉

site:"edu.cn"

最基本的edu的網站后綴。

inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本內容：

site:域名 intext:管理|后臺|登陸|用戶名|密碼|驗證碼|系統|帳號|admin|login|sys|managetem|password|username

查找可注入點：site:域名 inurl:aspx|jsp|php|asp

查找上傳漏洞：site:域名 inurl:file|load|editor|Files

找eweb編輯器：

site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的數據庫：site:域名 filetype:mdb|asp|#

查看腳本類型：site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵：inurl:cms/data/templates/images/index/

多種組合往往能散發不一樣的魅力

百度語法

同google語法沒有太大差距

Fofa語法

在fofa中如何定位一個學校呢？

有兩個方法

一個是org，一個是icon_hash

有了這些還怕找不到資產？

因為一個學校的iconhash 往往都是幾個固定的，所以我們搜索iconhash的時候，也會有不一樣的效果。

如下為icon腳本(python2)

import mmh3

import requests

response = requests.get('url/favicon.ico',verify=False)

favicon = response.content.encode('base64')

hash = mmh3.hash(favicon)

print hash

那么問題來了，org怎么找呢，別急

不同的搜索引擎org有略微不同

fofa的org搜索

org="China Education and Research Network Center"

當然全都是org的，（沖，亂殺）

shodan語法

shodan和fofa大致相同，也是存在org和icon的，

只不過org有點不同

org:"China Education and Research Network"

org:"China Education and Research Network Center"

shodan這邊有時候還會更加細分，某個大學也會有自己的組織，（隨機應變嘍）

鐘馗之眼

鐘馗之眼的好處在于，他會把所有組件的漏洞都羅列出來，便于檢測

organization:"China Education and Research Network Center"

微步在線

正向查找都說了，那反向呢？

微步的反向ip查找域名十分好用

某高校一個ip甚至會綁定幾百個域名

那是不是找到最新的域名發現時間，開始了呢！

小程序

好了好了，咱們話題要回來噢

姥爺們又說了，小程序有個p，欸可不能這樣

還記得我們剛剛說到的信息搜集嗎？

剛剛企查查找到的小程序，里面也有相關服務器的接口才能通訊呀！

我們打開我們的crackminapp

將微信小程序包導進去，逆向源代碼，（如果有需要，會專門出一個如何尋找/抓包小程序）

在app.js中一般存在有主url

我們需要去每個js頁面中，尋找到合適的參數構造，接口，發包查看具體情況

欸？是不是就找到了呢？

app抓包

app抓包現在花樣百出，我一般使用charles

當然只能是安卓7以下，高版本的話需要自己去學習嘍~百度一下

（如果有想用的，也是看看情況吧）

1.3 信息搜集小匯總

信息搜集的廣度決定了攻擊的廣度，知識面的廣度決定了攻擊的深度。

如上這些，完全可以混合起來，達到更加完美的效果（菜弟弟第一個文章，大佬們勿噴）。

所以，學習不要停下來啊，（希望之花~~~）

二 漏洞尋覓

話續上集

有的老爺們問了：有了資產不會打呀，廢物，騙子，RNM退錢！（補個表情包）

欸，別急嘛，

0day 能挖到么？挖不到，

1day 拿來piao，寒摻么？不寒摻！

這里需要時刻關注各大公眾號的推文啦，星球啦，一般也能刷個十來分。

（這里感謝PeQi師傅的文庫）膜拜膜拜~~

收

Spring boot 是越來越廣泛使用的java web框架，不僅僅是高校，企業也用的越來越多

那么如果有Spring boot的漏洞豈不是亂殺？

好，如你所愿

https://github.com/LandGrey/SpringBootVulExploit

這個就是一洞百分的Spring boot（掏空了，掏空了55555）

首先我們要知道

Spring boot 2和Spring Boot 1是不同的

payload也是不同的

2.1 路由地址

swagger相關路由前兩天有表哥也發了fuzz，如果存在，那便可以沖了！

/v2/api-docs

/swagger-ui.html

/swagger

/api-docs

/api.html

/swagger-ui

/swagger/codes

/api/index.html

/api/v2/api-docs

/v2/swagger.json

/swagger-ui/html

/distv2/index.html

/swagger/index.html

/sw/swagger-ui.html

/api/swagger-ui.html

/static/swagger.json

/user/swagger-ui.html

/swagger-ui/index.html

/swagger-dubbo/api-docs

/template/swagger-ui.html

/swagger/static/index.html

/dubbo-provider/distv2/index.html

/spring-security-rest/api/swagger-ui.html

/spring-security-oauth-resource/swagger-ui.html

2.2 敏感信息

最重要的當然是env和/actuator/env了

他們一個隸屬于springboot1 一個屬于springboot2

/actuator

/auditevents

/autoconfig

/beans

/caches

/conditions

/configprops

/docs

/dump

/env

/flyway

/health

/heapdump

/httptrace

/info

/intergrationgraph

/jolokia

/logfile

/loggers

/liquibase

/metrics

/mappings

/prometheus

/refresh

/scheduledtasks

/sessions

/shutdown

/trace

/threaddump

/actuator/auditevents

/actuator/beans

/actuator/health

/actuator/conditions

/actuator/configprops

/actuator/env

/actuator/info

/actuator/loggers

/actuator/heapdump

/actuator/threaddump

/actuator/metrics

/actuator/scheduledtasks

/actuator/httptrace

/actuator/mappings

/actuator/jolokia

/actuator/hystrix.stream

2.3 heapdump

噢？這里又會有什么呢？

這里會有所有的堆棧信息喲

那些在env中加星號的都會出來喲

我們訪問

/heapdump

/actuator/heapdump

然后使用Memory Analyzer 工具oql查找即可

感謝landGrey師傅（站在巨人的肩膀上），非常感謝

https://landgrey.me/blog/16/

OQL語句如下

select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("password"))

或

select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))

噢？，這都可以？

那當然，redis，數據庫，拿下~

又有老爺問了：spring boot不是rce嘛，騙子！

別著急

那么，最常見的RCE是什么呢？

eureka xstream deserialization RCE

需要先修改defaultZone 然后刷新配置

注意！修改有風險，請提前聯系相關人員！

注意！修改有風險，請提前聯系相關人員！

注意！修改有風險，請提前聯系相關人員！

我們怎么辦呢，沒辦法呀啊sir，只有dnslog來的實在

jolokia logback JNDI RCE

jolokia ！jolokia！jolokia! yyds

詳情可在那個師傅 github 里面學習喲~（詳情不做展開）

2.4 批量生產

呼呼呼~終于來到這里啦，

學習了這么多，怎么找嘛，還是騙人~（語氣逐漸低沉）

來了來了

如果我們在fofa中找spring boot 的相關網站，我們可以使用icon，app，還能使用關鍵字呀~

如何定位spring boot的呢？

報錯404呀

我們通過學習的信息搜集，一通合并

ohhhh 600個

其他icon等之類的方法不做演示（避免危害太大5555555555）

這個是批量腳本，把url放到list里面就行啦

import requests

list = ['','']

for i in list:

try:

url = "http://" +i + "/actuator/env"

print(url)

res = requests.get(url=url,allow_redirects=False,timeout=5)

print(res.text)

url = "http://" +i + "/env"

print(url)

res = requests.get(url=url,allow_redirects=False,timeout=5)

print(res.text)

except:

pass

print("overeeeeeeeeeee")

轉載于http://0dayhack.net/index.php/1785/

總結

以上是生活随笔為你收集整理的【转】教育src挖掘经验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。