从零开始的 SRC 挖掘

前言

每一次成功的渗透，都有一个非常完备的信息搜集。

大师傅讲的好呀：信息搜集的广度决定了攻击的广度，知识面的广度决定了攻击的深度。

信息搜集

信息搜集可以从多个领域来看：

公司，子公司，域名，子域名，IPV4，IPV6，小程序，APP，PC 软件等等等等

我主要在 EDUsrc 干活，各大高校也是算在公司内的。

比如某某大学，我们查到大学后还能干什么呢？

那么我们就可以重点关注备案网站，APP，小程序，微信公众号，甚至于微博，

微博地点，将他们转换为我们的可用资源。

企查查是付费的，我一般使用的是小蓝本

这样，域名，小程序，微信公众号，一网打尽，是不是感觉挺轻松的？

（担心有问题，重码）

有了域名之后，我们该如何是好了呢？

那当然是爆破二级域名，三级域名，我们可以选择 OneforALL，验证子域名，然后使用 masscan 验证端口，但是我一般使用的是子域名收割机（当然 layer 也可以）

这里因为工具不是我本人的，不方便提供。

他会将 IPV4,IPV6,部分域名都提供，那么我们先从 IP 入手

IP 我们可以做什么呢？

我们已经知道某个 ip 属于教育网段，那么怎么具体知道其他 ip 呢？

我们可以定位 WHOIS

whois 中包含了用户，邮箱，以及购买的网段！

没错，购买的网段！（很多时候大家都会忽略的一点）

有了这个，妈妈再也不用担心我打偏了（狗头）

有了网段，我们大可以开展下一步

主动信息搜集

在主动信息搜集的时候，我们可以使用一些强大的资产测绘工具，

goby（目前在用），资产测绘还是挺不错的，他会有一些 web 服务，可以供你捡漏，不要担心没有 banner，有时候 goby 也不认识呢！但是往往这些没有 banner 的都会有问题。

被动信息搜集

被动信息搜集就是使用一些在线的大量爬取的网站。

因为这些语法网上蛮多的，（个别）就不拿具体网站做展示了。

Google hack 语法

百度语法

Fofa 语法

shodan 语法

钟馗之眼

微步在线

Google

我们先来看 Google，Google 语法大家可能都比较熟悉

site:"edu.cn"

最基本的 edu 的网站后缀。

inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点：site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞：site:域名 inurl:file|load|editor|Files找eweb编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit存在的数据库：site:域名 filetype:mdb|asp|#查看脚本类型：site:域名 filetype:asp/aspx/php/jsp迂回策略入侵：inurl:cms/data/templates/images/index/

多种组合往往能散发不一样的魅力

百度语法

同 google 语法没有太大差距

Fofa 语法

在 fofa 中如何定位一个学校呢？

有两个方法

一个是 org，一个是 icon_hash

有了这些还怕找不到资产？

因为一个学校的 icon_hash 往往都是几个固定的，所以我们搜索 icon_hash 的时候，也会有不一样的效果。

如下为 icon 脚本(python2)

import mmh3import requests
response = requests.get('url/favicon.ico',verify=False)favicon = response.content.encode('base64')hash = mmh3.hash(favicon)print hash

那么问题来了，org 怎么找呢，别急

不同的搜索引擎 org 有略微不同

fofa 的 org 搜索

org="China Education and Research Network Center"

当然全都是教育网段的，（有些公司也会有自己的组织）

shodan 语法

shodan 和 fofa 大致相同，也是存在 org 和 icon 的，

只不过 org 有点不同

org:"China Education and Research Network"org:"China Education and Research Network Center"

shodan 这边有时候还会更加细分，某个大学也会有自己的组织，某个公司也会有自己的组织（随机应变喽）

钟馗之眼

钟馗之眼的好处在于，他会把所有组件的漏洞都罗列出来，便于检测

organization:"China Education and Research Network Center"

微步在线

正向查找都说了，那反向呢？

微步的反向 ip 查找域名十分好用

某高校一个 ip 甚至会绑定几百个域名

那是不是找到最新的域名发现时间，开始着手了呢！

360 quake

感觉是用起来比较方便的一个

首先，直接就可以进行批量的识别，其次可以很方便的对 ico 进行识别

在厂商识别中也可以很方便的对历史漏洞进行查询

isp: "中国教育网" AND city: "Beijing City"

同时语句也比较简单

页面 js 接口

在 js 中，可能会有很大程度上的未授权 js 接口，造成上传/登录/修改密码等等

同时 js 的使用还可以追溯到 chrome devtools 在 js 文件中打下断点，可以进行动态调试以及动态绕过

console yyds

Kunyu（坤舆）

一款信息搜集工具，包含了很多的接口，包括 zoomeyes，360quake

小程序

好了好了，咱们话题要回来噢

姥爷们又说了，小程序有个 p，欸可不能这样

还记得我们刚刚说到的信息搜集吗？

刚刚企查查找到的小程序，里面也有相关服务器的接口才能通讯呀！

我们打开我们的 Crackminapp

将微信小程序包导进去，逆向源代码，（如果有需要，会专门出一个如何寻找/抓包小程序）

在 app.js 中一般存在有主 url

我们需要去每个 js 页面中，寻找到合适的参数构造，接口，发包查看具体情况

欸？是不是就找到了呢？

app 抓包

app 抓包现在花样百出，我一般使用 charles

当然只能是安卓 7 以下，高版本的话需要自己去学习喽~百度一下

（如果有想用的，也是看看情况，我在出一期）

信息搜集小汇总

信息搜集的广度决定了攻击的广度，知识面的广度决定了攻击的深度。

如上这些，完全可以混合起来，达到更加完美的效果所以，学习不要停下来