【挖洞技巧】那个简单的威胁情报
前晚小憩后的“模糊”思考,令自己忍不住在朋友圈发表了一条“讨厌”的说说:
睡眼惺忪,痛定思痛;
讨厌是一种说不清讨厌的感觉:
讨厌晚睡晚起;
讨厌违约失信;
讨厌丢失狼性;
讨厌没有节制;
讨厌计划落空;
……
当我们走出校园(温室),迈进社会,接触形形色色的人,经历各式各样的事,将会发现绝大多数人的过于平凡终将一个人的优秀拖向平庸!!
1、一起读书
回想当初写公众号有两个原因,一是羡慕开博客做技术分享的hacker大佬们,二便是“逼着”自己进行沉淀,养成一个好习惯并成为他们中的一员。谈到分享,技术人员很不应该只专注于技术,对生活与工作的思考亦不能少。作为一位热爱生活好好工作的个人公众号小编,可以很自由的按照个人见解来行文,比如将尝试着在后续文章的开头新增“一起读书”段落,将自己从学校积累的阅读成果——《独处,我学会了哲思》系列的哲思与摘抄进行分享。比如高中时关于乔布斯的简报:
“不要让别人的声音淹没你的内心。最重要的,拥有追随自己内心与直觉的勇气,你的内心与直觉多少已经知道你真正想要成为什么样的人。”直到现在仍旧觉得他说的很好,要让自己拥有思考和主见,不能指望别人来帮助解决问题。更多的寓意还是留个大家去思考,当然也可以留言一起交流。
2、威胁情报
这是一个过去非常火热乃至现在依旧温热的话题,因为不懂,所以不敢过多发表意见,甚至定义都需要去百度。去过不少安全会议,大咖们讲得都很好但是收获却极少,曾试着以自己的践行去诠释,但却没有玩起来,效果不好。有这么一段时间,挖洞中的一个手法稍微的展现了威胁情报冰山一角的一丢丢。
2.1 威胁情报定义
对于不是从事威胁情报方向的大众而言,首先应该需要看下定义:From Gartner——威胁情报是基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。
威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。
2.2 SRC眼中的威胁情报
过去作为白帽子,对于高大上概念的理解始终是不怎么充分,但若是体现在SRC的收集漏洞规则上,便一目了然了:
- 针对系统的黑客攻击
- 重大0Day漏洞
- 数据库被拖或数据交易
- 营销作弊与业务规则绕过
- 商户欺骗与舆情舆论等……
3、手工案例
一个简单得出乎意料的操作,便很可能是威胁情报中——企业系统被黑的相关情报。如果是核心或重要系统页面被黑被挂马被重定向,想必安全团队会很早发现,对于一些“狭小”的地方,往往会造成疏漏。
搜索并关注某厂某产品微信公众号,点击菜单2中的7月晒刊:
点击访问后,跳转返回403禁止访问:
将链接复制到浏览器中进行访问http://www.chugl.com/wsq/forum.php?mod=viewthread&tid=95&extra=page%3D1,查看其域名为:博彩网站
这很明显这不属于正经大厂的业务,赶紧提交到SRC并获得认可。整个过程轻松愉快外加行云流水,有时候SRC提交漏洞就是那么简单,只要具备发现漏洞与风险威胁的思路。
4、自动流程
当有了思路,手工变成工具,于是便产生了不少高rank的大佬。以上操作都是靠着手工在手机上、微信中进行相关目标的查找,搜索相关公众号然后关注——>查看历史消息——>点击进行各项菜单等操作。
其实,微信搜索也是个不错的引擎,不仅能搜出目标相关的公众号,还能找到含有目标类似、目标中部分关键字的公众号。当公众号太多及干扰因素过多(类似公众号但又不属于目标相关),就会疲倦就会很累,于是一次偶然中找到了能搜微信公众号的搜狗:http://weixin.sogou.com
输入目标关键字进行搜索,并将返回的结果进行筛选过滤,获取“有价值”的公众号,然后再关注再去进行各项操作找出敏感信息进行渗透。当然,这一切差不多都可以通过脚本去实现。
5、其他
其他的威胁情报还有很多姿势,比如潜伏在一些群里发现某厂商用户数据倒卖并有实际依据,又比如提交重大0day,......但这方面拿出来分享的人却不多,很可能还是案例不多的缘故吗?