【SRC】记一次信息收集实战分享

原文首发在：先知社区

https://xz.aliyun.com/t/15944

选择目标

进入补天，选择一个目标

图片

信息收集

ip

使用

nslookup xxx.xxx.com

只有一个ip回显，没有开dns 看一下开放端口，这里会检测速率封ip，所以能用代理池就用代理池

图片

其中80和443直接不能访问：

图片

xxxx端口发现深信服

图片

最后发现8080能够使用，用的是aspx

图片

功能都不能正常使用，目录爆破也没有什么东西，放弃

图片

尝试mssql爆破

使用week-passwd，尝试失败，看到深信服就知道大概率是失败的，所有随便试了一下

资产测绘

使用quake进行资产测绘，得到一百多条数据

图片

quake的邀请码：1CWUGm，填了可以有5000积分

oneforall

使用oneforall进行子域名查找，得到35条数据

图片

js爬取

使用JSFinder，将前面得到的子域名去重之后，进行js爬取，使用jsfind，得到几百条数据

图片

存活检测

使用windfire，进行存活去重，得到92条url

图片

Google搜索

得到一些敏感数据，比如默认密码，老师的电话之类的

谷歌语法如下（直接copy即可）
site:.A.B.cn filetype:xls OR filetype:xlsx intext:身份证
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx intext:身份证
site:.A.B.cn filetype:xls OR filetype:xlsx "身份证"
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx "身份证"
site:.A.B.cn filetype:xls OR filetype:xlsx intitle:身份证
site:.A.B.cn filetype:pdf OR filetype:doc OR filetype:docx intitle:身份证

语法解释
site:指定域名
inurl:用于搜索包含的url关键词的网页
intitle:搜索网页标题中的关键字
intext:搜索网页正文中的关键字
filetype:按指定文件类型即文件后缀名搜索
cache:已经删除的缓存网页

关键词可以替换为： 身份证|sfz|学号|xh|登录|注册|管理|平台|验证码|账号|系统|手册|默认密码|初始密码|password|联系电话|操作手册|vpn|名单

图片

工商数据收集

使用enscan得到一些信息，法人备案号之类的

图片

社工

直接在QQ搜索相关的群名称，进入之后，得到一些信息

图片

图片

寻找利用点

尝试ueditor的net版本漏洞

图片

图片

尝试失败，返回302错误，应该被waf拦截了

尝试xss

有反射型xss

图片

这里被拦截

图片

图片

尝试H3C安全产品管理平台前台远程命令执行漏洞

图片

图片

未尝试，只在这里找到了，其他地方没有找到，这个没有那么多积分，查看不了

尝试用户名爆破

图片

尝试了几百个，失败，无常规用户名。电话尝试了社工得到的电话，未成功，

图片

尝试邮箱成功得到

图片

发现任意用户注册漏洞，尝试越权，文件上传

图片

每个用户默认有1G空间

图片

尝试越权

发现uid参数

图片

uid参数尝试无果，

图片

发现新的参数，url路径

图片

图片

用户默认为邮箱号

尝试文件上传

不正常的直接被拦截，尝试失败

图片

总结

信息收集到寻找漏洞的具体流程都走了一遍，学校网站的子域名有二十几个，但是几乎全部套用一样的模板，不好下手