本来是想写比较全面的web资产信息打点的,自己的毕设也是这一方面的,但是渗透的前期打点牵扯到的知识面比较广,自己也是一个懒货很多工具只知道怎么用源码没怎么分析过,所有其中很多细节都讲不清楚。

再一个就是自己从大二开始就一直想要edusrc的证书,但是自己也没人带,自己只会ctf和代码审计,根本无从下手。年前的时候花了大概一个月挖了一下,还算好挖吧,学校的系统都比较老,但是这又牵扯到了另一个问题了。学校的资产往往都收缩的很紧,如果没有校园网账号,挖的时候就非常难受了,经常花了一天时间收集信息,但是晚上一看都不是什么有用的资产,后来干脆不收集信息了直接挖公众号了。所以目标资产外的信息收集也是很关键的,比如社工,源码信息,供应链等

由于自己又不是资深红队,对这方面的信息了解的也不多,就简单写写,后面有机会遇到了在补,发现自己越来越啰嗦了。

信息收集语法

搜索引擎语法

1
2
3
4
5
6
7
//谷歌
site:xxx.edu.cn "学号" "身份证号" filetype:xlsx OR filetype:pdf OR filetype:xls OR filetype:doc
site:xxx.edu.cn intext:初始密码|默认密码 && ("附件")
intitle:实验室安全准入考试系统

//bing
对于找一些国内的网站来说,感觉bing比google好用,语法类似

除此之外,我感觉现在的ai也是一种特殊的搜索引擎,比如已知Apache Shiro存在一种特定的逻辑漏洞,我们就可以看看是否在其他产品上存在该漏洞

Apache Shiro是一个Java 权限认证框架,除此之外github上还有没有类似的框架,说出20个
然后我们根据产品一一测试即可

GitHub语法

一些学生会写自动化小工具比如选课脚本,图书馆通知,课堂大作业项目等,往往未对代码进行脱敏就把源码放到库上了,可能对于学生来说,学校资源没什么用身边人都有,但是我们如果能够在 GitHub 找到过某高校的一个学生账号,就可以连接校园VPN攻击内网服务了

1
2
3
4
5
6
7
8
//搜索限制
pushed:>2019-01-01 created:>2019-01-01
language:java
//搜索内容
"代码片段用引号包裹"
"strings.ReplaceAll("   "\"../\", \"\")"    NOT ".Clean(" language:Go
filename:.env filename:bash_history filename:_rsa filename:jenkins.plugins.publish_over_ssh.BapSshPublisherPlugin.xml

另外,如果在挖某开源系统的漏洞,可以看看这个系统的issue,说不定一个bug的背后就藏在一个漏洞

网盘泄露

供应链

供应链攻击分为两种,一种就是攻击供应商,拿到目标留着供应商的配置信息或者源码,另外一种就是攻击有相同源码的同源站,获取靶标的信息如同源站的密钥都是一样的,路径信息,配置信息,如果能拿下同源站,黑盒测试就变成代码审计了

资产搜索引擎

1
2
3
4
5
6
7
8
//直接搜索公司名称,如果版权没删就能搜到
"公司名称" && org="China Education and Research Network Center"//fofa
body="公司名称"&&ip.isp="教育" //hunter

title=""     //fofa
web.title="" //hunter


社工

社交软件

这个我遇到的比较多,比如说学校的vpn密码默认身份证号后六位,账号是学号,你就可以在抖音或者小红书上找找看有没有没打码的录取通知书,我自己试了好几个学校,一般是有的,抖音要比小红书多一点,抖音大部分都是家长发出来炫耀的,老一辈人大多都习惯待在自己的小圈子里,根本没有意识到现在已经是大数据时代了,没想到有人会顺着网线找过来