渗透过程中如果能获取到网站的源代码,那么无疑开启了上帝视角。虽然之前出现过不少通过搜索引擎查找同类网站,然后批量扫备份的思路,但是却没人分享其具体过程,这里笔者便整理了自己开发分布式扫描器的目录扫描模块的一些尝试的思路,同时分享一些寻找源码的其他手段,希望能给读者带来一些新的体验。
0x1.1 代码托管平台
国外的github和国内的gitee都是第三方代码托管平台,通过一些搜索技巧,我们可以从中发现很多泄露的敏感信息,其中就包括一些程序的源代码。这里笔者对码云平时用的不多,故对此只是简单提提,下面,则重点介绍github的用法:学习这个用法就我个人而言最大的好处是,遇到返回大量数据的时候,可以根据一些特点来过滤掉一些垃圾数据。Github的搜索页面: https://github.com/search
(1) quick cheat sheet基础查询:
(2)个人查询Dork
(3)针对某个关键词查询
用双引号括起来,如"qq.com"
(4)可以使用GitDorker来自定义dork,实现自动化查询。
免安装使用:
参考:
https://github.com/techgaun/github-dorks
https://infosecwriteups.com/github-dork-553b7b84bcf4
0x1.2 搜索引擎
Google:
0x1.3 网盘搜索
https://www.feifeipan.com/
https://www.dalipan.com/
https://www.chaonengsou.com/
这个网站做了个集合,比较全。
如果如0x1所述,依然没办法找到源码,说明目标系统是那种小众或者商业类型的,导致没有在互联网流传广泛,故没办法搜索到。这个时候,我们便可以采用曲线思路,通过寻找本网站根目录下的备份文件,源代码包进行下载,如果仍然没有找到,则去寻找同套系统的其他网站,扫描这些网站目录下的备份文件和源代码包,从而获取到系统源码。我们不能做思想上的巨人,行动上的矮子,那么如何高效地完成这一过程呢? 可以划分为下面几个步骤来完成。
0x2.1 提取特征
0x2.2 资产收集
0x2.3 简单fuzz
0x2.4 编写nuclei插件
阅读和学习编写插件的官方文档:Guide可知:
编写插件第一步: 插件信息
新建back-up-files.yaml文件,写入如下内容参考:https://nuclei.projectdiscovery.io/templating-guide/#template-detail 可知
id是必须的,不能包含空格,一般与文件名相同
info区域是动态的,除了name, author, des cription, severity and tags,也可以添加其他key:value,tags是支持用于nuclei检索调用的,可参照同类插件来写。
编写插件的第二步:发送请求
参考:https://nuclei.projectdiscovery.io/templating-guide/protocols/http/ 可知
1.HTTP Requests start with a request block which specifies the start of the requests for the template.
2.Request method can be GET, POST, PUT, DELETE, etc depending on the needs.
3.Redirection conditions can be specified per each template. By default, redirects are not followed. However, if desired, they can be enabled with redirects: true in request d etails.
4.The next part of the requests is the path of the request path. Dynamic variables can be placed in the path to modify its behavior on runtime.Variables start with {{ and end with }} and are case-sensitive.{{b aseURL}} - This will replace on runtime in the request by the original URL as specified in the target file.{{Hostname}} - Hostname variable is replaced by the hostname of the target on runtime.
5.Headers can also be specified to be sent along with the requests. Headers are placed in form of key/value pairs. An example header configuration looks like this:
6.Body specifies a body to be sent along with the request. (发送POST包需要用到)
7.To maintain cookie b ased browser like session between multiple requests, you can simply use cookie-reuse: true in your template, Useful in cases where you want to maintain session between series of request to complete the exploit chain and to perform authenticated scans.(Session重用,作用是串联攻击链,实现登录验证再攻击)
8.Request condition allows to check for condition between multiple requests for writing complex checks and exploits involving multiple HTTP request to complete the exploit chain.
with DSL matcher, it can be utilized by adding req-condition: true and numbers as suffix with respective attributes, status_code_1, status_code_3, andbody_2 for example.(编写复杂攻击链)
0x2.5 测试插件
本地起一个靶机,进行调试:
第一篇主要是介绍了一些思路和nuclei插件编写简单思路,用于帮助新手快速入门,第二篇则是关于如何增强该插件,增加扫描目录列表,更精确的判断返回值等内容(这里建议读者,可以先自行阅读下nuclei-template的文档,这样学习效果更佳!),第三篇则是运用前两篇的知识点和增强型插件,来完成一次真实的寻找网站源码之旅。