Gr36_，男，阿里云云盾先知平臺白帽子貢獻排行榜排名第一的白帽子。

從 2016 年開始，Gr36_ 在先知平臺活躍，也在國內其他眾測平臺“挖洞”。他對自己身份的定義是“眾測玩家”。雖然 Gr36_ 在先知平臺已經累計拿到 285950 元的獎金，他表示，賺取額外收入只是他成為眾測玩家的原因之一，他在三年前接觸眾測，像玩游戲一樣，愛上了這項“勞動”，有樂趣，還能交到好朋友，一起提升技能。

Gr36_認為，眾測多方共贏的模式可以改變很多人的生活。

《葵花寶典》傷身，挖洞秘籍有益。

3月24日，Gr36_ 在 2017 先知白帽大會上，就傳授了這種有益身心的挖洞寶典。以下為 Gr36_ 的秘籍實錄，雷鋒網在不修改原意的基礎上略有修訂和刪節(jié)，PPT 截圖為 Gr36_ 授權雷鋒網發(fā)布。

［Gr36_ 在 2017 先知白帽大會上］

0x00 信息搜集：眾里尋他千百度

我們都知道打仗時搜集情報是重中之重，安全測試中前期的信息搜集工作也是關系著整個項目成敗的關鍵因素。

眾測時拿到一個給定的測試范圍，比如，一個主域名，獲取到的各種信息越多，拓展出去的測試范圍越廣，能挖到高危漏洞的概率也越大。有一些做常規(guī)信息搜集的手段，如，IP端口掃描、子域名的爆破。但是，我要介紹一些平常容易被忽略的信息。

微信公眾號

時下，微信已經成為全新的社交方式，大大小小的公司也開始運營自己微信公眾號，很多公司采用第三方微信公眾平臺，有的自己研發(fā)微商城、微官網這樣的系統(tǒng)。

這樣的系統(tǒng)往往存在問題，如果遇到的測試背景是第三方微信公眾平臺，需要多花一些精力，這樣會得到比較好的效果。通過微信公眾號的搜索功能，直接搜索到測試目標微信公眾平臺的測試程序，我發(fā)現(xiàn)了很多安全漏洞。

移動APP

公司系統(tǒng)經過長久的測試與開發(fā)，安全系數越來越高，我們挖到安全漏洞的難度也越來越大。相對而言，APP 作為最近幾年才興起的新鮮事物，很多公司在該領域的安全投入稍微欠缺，APP 也很容易成為測試過程中的突破口，因為可能用同樣的業(yè)務邏輯，APP 有可能也存在安全問題。

這是WEB系統(tǒng)的密碼找回最后一步的流程，整個流程在找回輸入注冊時候預留的郵箱，系統(tǒng)會將密碼找回的鏈接，輸入了密碼以后抓包，就可以來到這一步，正常而言，KEY 的參數應該是隨機生成的，但當時測試幾次后發(fā)現(xiàn)KEY是不變的，那么 KEY 會不會是和用戶身份相關的標識呢？能夠從系統(tǒng)中找到用戶的ID和KEY的對應關系，就可以重置任意一個用戶的密碼，但是我在整個系統(tǒng)中都沒有找到相關蹤跡，這時我把眼光投向了移動 APP ，果不其然，我在移動 APP 登錄請求發(fā)現(xiàn)了一些蛛絲馬跡，經過比對和之前密碼找回的 KEY是一樣的，把這兩個請求組合起來就能做到——知道用戶名就可重置任意用戶的密碼了！

passive dns

先看一個命令執(zhí)行漏洞的案例。這個漏洞的奇葩之處不在于漏洞本身的利用方式有多復雜，就是一個稀疏平常的，由于拼接 os 命令造成的命令執(zhí)行，關鍵的地方在于這個子域名是如何發(fā)現(xiàn)的。像這種多級子域名，光靠字典爆破是很難跑出來的，這里就是用 passive dns 數據獲取到子域名數據。

通俗而言，passive dns 就是 dns 解析記錄的歷史數據。國內外都有提高 dns 解析歷史數據的網站，利用這些網站提供的查詢功能或 api ，可以獲取到很多利用暴力猜解沒辦法獲取到的子域名數據。

歷史漏洞

我有一個非常深刻的感受：漏洞從來不單獨出現(xiàn)，某個系統(tǒng)出現(xiàn)了某種類型的漏洞，說明負責開發(fā)這個系統(tǒng)的程序員的安全意識不強，安全編碼不規(guī)范，有非常大的概率，在系統(tǒng)中還隱藏著沒有被我們找到的漏洞。最好的例子是，前段時間肆虐各大網站的 strusts 2 命令執(zhí)行漏洞，大家可以猜一下 st2 命令執(zhí)行漏洞的編號會達到多少？所以，歷史漏洞在眾測中可以給我們提供很多參考。通過漏洞平臺的歷史漏洞數據，能得到很多的啟示和參考。

0x01 精騖八極，心游萬仞

我認為，挖洞是一項非常需要想象力的活動，在測試的過程中應該多考慮一些特殊的情景，多開腦洞。

雙編碼注入和寬字節(jié)注入，這兩種在 PHP 源代碼審計中比較的常見，但是按照經驗，眾測過程中，在黑盒時也可以碰到這種非常規(guī)注入，測試注入時如果只是用單引號、雙引號做測試，這兩種特殊的注入就跟你無緣了。

排序注入，為什么要把排序注入單獨拿出來說？對大多數的程序員而言，參數化查詢、預編譯處理可以解決絕大部分注入處理，但是，排序注入比較特殊，預編譯處理對它無效，這種注入特別容易成為漏網之魚。

在系統(tǒng)中只要輸入單引號系統(tǒng)就會返回一個空，這種情形應該不存在注入，但是，這里是不是存在全局過濾機制？遇到單引號或者是其他的特殊字符系統(tǒng)就返回空？我把請求變成 POST 請求，經過這樣的變換，發(fā)現(xiàn)這個系統(tǒng)是可以注入的，用這種方式可以繞過程序全局的過濾。

0x02 天下大事，必作于細

細節(jié)決定成敗，在測試過程中不僅要膽大而且要心細，多注意一些細枝末節(jié)，有時，會有一些比較意外的發(fā)現(xiàn)。我有個比較良好的習慣，喜歡察看網頁的源代碼。

上述案例中，我當時是以普通用戶權限登錄到系統(tǒng)中，察看網頁源碼中發(fā)現(xiàn)有一堆注釋，注釋包含著一些鏈接，這些鏈接看上去是管理員功能的鏈接，最后這個鏈接普通用戶也可以訪問，這是屬于垂直權限的越權漏洞。

類似的 JS 源碼也是隱藏著一些看不到的信息，這些信息往往可以往往可以打開測試的局面，我當時在測試過程中遇到后臺系統(tǒng)，這個系統(tǒng)沒有帳號，經過暴力破解也沒有成功進入系統(tǒng)中，這時我去查閱系統(tǒng)加載的 JS 文件，其中一個文件中發(fā)現(xiàn)這樣一個函數，看上去應該是注冊函數，根據里面的邏輯拼接成一個請求，最后發(fā)現(xiàn)利用這個請求確實能夠注冊一個后臺系統(tǒng)的帳號密碼，然后就可以進一步登錄后臺系統(tǒng)進行測試。

奇葩的支付漏洞，電商網站選購完商品最后一步進行結算支付，當時選擇的支付方式是網銀在線，這個請求輸入一個訂單號，系統(tǒng)會返回一個表單，最終會拼接成網銀在線的最終支付鏈接，如果不仔細看可能就不會發(fā)現(xiàn)里面多了一點東西?？?KEY參數，在一般支付寶或者是網銀支付鏈接里，肯定有一個參數校驗的過程，為了防止用戶篡改支付過程的金額和訂單號會做參數交驗， KEY 會不會就是參數交驗過程中遇到的密鑰？當時我找到網銀在線的文檔，經過仔細研究，猜想 KEY 可能是參數交驗所需要的密鑰，根據規(guī)則結合前面的 KEY ，自己手動構造一個算參數交驗，自己算出來的數值和系統(tǒng)反饋回來的數值一樣，印證了我的猜想是正確的，我就可以結合這個規(guī)則和 KEY 構造出任意金額的支付鏈接，而且可以保證支付鏈接完完全全合法有效，所以，這可以算是真真正正的任意金額支付漏洞。

0x03 朝高危漏洞出發(fā)，不破樓蘭終不還

測試過程中要有挖高危漏洞的心，如果是挖到低危或者是中危漏洞也要想方設法把它變成高危的漏洞。

某次測試中找到某個系統(tǒng)存在 PHP 文件包含漏洞，經過測試發(fā)現(xiàn)這個系統(tǒng)沒有任何上傳點，文件包含是本地文件包含，意味著無法通過上傳或者是遠程文件包含拿到 web shell ，這時通過文件包含漏洞繼續(xù)讀系統(tǒng)源代碼，最后在某一個文件中發(fā)現(xiàn)了這么一行代碼，這行代碼意味著可以控制 session 變量，PHP的 session 保存服務器某個固定的路徑下，而且文件名是固定的前綴加上 session ID，路徑可以知道，session 的變量也可以控制，可以通過這個頁面往 session 文件里寫一句話，最終通過包含session文件的方式獲取到web shell。

論壇程序，在眾測的過程中遇到很多，對于這種程序大家都有自己的方法，有些是用社工管理員的帳號，或者是利用歷史漏洞去入手，自帶統(tǒng)一管理的程序。

如果仔細看過漏洞詳情，就會知道 UC 有很多的 API 設計非常不安全，利用 API 爆破 UC 創(chuàng)始人的密碼，這個爆破不受驗證碼請求次數的研制，爆破創(chuàng)始人密碼可以登錄 UC 的后臺，相當于可以獲得論壇至高無上的權限，我在眾測過程中發(fā)現(xiàn)很多廠商對這里有一些加固，可能會做訪問的限制，比如，針對源 IP 的限制，出現(xiàn)這種情況可以回到這里，在拿到創(chuàng)始人密碼情況下，可以獲得論壇對應的 uc key，可以結合之前UC 的漏洞進行選項，還可以進行注入，注入寫本地的中轉腳本，可以利用自動化工具完成。

0x04 工欲善其事，必先利其器

很多白帽子在眾測的時候都用自己的專屬的工具包，有些是自己定制化開發(fā)的工具，我平常使用比較多的是一款基于被動式的掃描工具，在這種被動式掃描工具出現(xiàn)之前，也有大牛開源了一款工具，但是要經過注入檢測，我推薦的這款適用范圍更廣一些，技術差不多也是利用現(xiàn)成的輪子組合，技術含量不是很高，主要是分享一些思路。

程序搭載的流程，訪問代理服務器可以抓取用戶所有的請求流量，可以對流量進行存儲，后端的掃描程序再對流量進行安全檢測。

程序分三部分，對于 host 字段網站的域名和 IP ，會進行端口服務的識別，根據服務識別的結果再系統(tǒng)自動匹配調用相關的漏洞掃描的插件。系統(tǒng)掃描結果發(fā)現(xiàn)目標完善運行一個服務，自動從系統(tǒng)中調用爆破之類的檢測腳本檢測，url 會進行外部指紋的識別，識別目標網站使用中間件，系統(tǒng)會自動調用一些反序列化弱密碼的爆破之后進行檢測。對于動態(tài)頁面，會調用文件包含之類的常規(guī)的外部掃描的插件進行檢測。完整的流程走下來可以省去很多煩瑣重復性的勞動，也可以提高掃描的效率，提高漏洞發(fā)現(xiàn)的準確度，達到事半功倍的效果。

用到兩個框架，Tornado、Twisted，意味著在資源比較少的情況下，單機情況下都可以獲得比較不錯的掃描效率。

關注雷鋒網，獲得更多關于2017 先知白帽大會的信息。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。