挖洞比赛嘛,根据规则就是一个问题,如何在短时间内挖到更多、等级更高的漏洞?
先分析这个问题,需求是什么?
更多?
等级更高?
短时间内?
首先要解决的是时间的问题
时间有限,所以你必须要快。如何快?把整个挖洞的流程走一遍,用最少的时间。
提前准备。因为众测或者挖洞比赛往往还没开始就已经把目标放出来了,所以可以在开始之前的前几天进行准备。将目标的资产摸一遍,整理好,去了解对方的业务,开始第一阶段的挖洞。
对各种漏洞类型原理熟悉,能够在目标身上进行套用。只能在平常的时候多练,多总结。对于不同的业务方,可能会存在哪些特殊的风险点,与及常见的一些风险点。多看看乌云上厂商的历史漏洞,进行整理,对于其薄弱环节进行统计和总结。
应对各种漏洞特殊场景的快速处理能力。其实就是骚操作,多去跟踪大佬的博客,学会总结。把姿势都拿小本本记下来。
熟练掌握各种辅助工具。只能在平常的时候多练,多总结。
- 拥有自己的神器
其次是更多的问题
漏洞是存在有等级的,有低有高。常见的漏洞类型并不一定是厂商所接收的。所以最好是看一下目标所收取的漏洞类型,然后根据漏洞类型去挖取。因为在前面的准备阶段已经进行了一阶段信息收集与熟悉业务,那么这个时候就是按照漏洞类型来挖取了。
利用神器,工具。要想挖多,但是又不限等级,最好的方法莫过于用工具去批量扫了,减少了人工去发现的漏洞风险点的时间和精力。要做的就是验证工具扫出来的是否有效。这个取决于工具是否高效了,误报过多,验证也是体力活,反而浪费了时间。比如用chrome headless来批量扫反射xss,也是可以的。前提是厂商收取。
柿子要挑软的捏。这个道理相信大家都懂。一个src或者是有自己安全团队的厂商,在放出业务来众测的时候,早就已经自己在内部测了一遍了。也就是核心业务的重要功能点都是已经被测过了一遍的了。所以要想挖的多,就得找软柿子捏,也就是边界业务,不是很重要的业务。往往测试的比较少,可以挖出一些来。
- 风险不高的漏洞。内部测试往往测的不全,业务赶着上线等等其他情况。就会出现在低风险漏洞类型往往测的比较少。可以尝试针对低风险的漏洞进行测试。
再来就是等级的问题
大多数人都知道了上述步骤,那么如何与别人不一样,拉开距离呢?那就是高等级的漏洞了。
前面说过,在这么多人测试并且已经测过了的情况下,如何发现高危漏洞?
高危漏洞往往是这两种
针对传统漏洞的类型去挖掘。比如ssrf,sqli,命令执行。
针对业务安全去挖掘。比如越权、逻辑缺陷导致的信息泄露等。
在哪里发现呢?
传统漏洞类型的话,无论是核心业务还是边界业务都是有可能出现的。
而业务安全的话,就只能是一个个熟悉业务,挖掘业务在处理过程中最不起眼的点,将一切不起眼的点联系起来。
怎么做呢?
传统漏洞的话,神器一把梭就完事了。
业务方面就是地毯式扫描所有业务,测试所有功能点,查看所有流量包。细心加猥琐思路
漏洞挖掘,最重要的是信息收集,资产等信息尽可能的收集全,提高自己发现漏洞点的几率。
实际上在整个挖洞过程中,都是在不断的重复信息收集的过程。。。
但以上,都比不上运气。。。
总结
以上是自己在这一次的i春秋挖洞大赛的一些感想,其实上面说的那些大家都知道,我只是写出来记录一下罢了。
这次挖的不多,很懒。大赛七天时间,从周三开始,周四周五这两天在划水,几乎没怎看,而周末更是去玩守望屁股去了。。。
等到最后两天的时候才想着补一下洞。结果发现自己对于业务的不熟悉,信息收集的不全,也是挖不了什么洞。
就这样结束了为期七天的线上挖洞比赛,成绩当然是不太好。。
总的来说,信息收集越全,攻击面也就增大了,提高了挖到洞的概率。
功能点就那么多,那么多人挖,憎多肉少的。
在同等工具的起跑线上,能发现漏洞点那是你的运气,而能够利用起来就是你的本事了。
后续线下决赛,没有去,主要是身体不舒服,哎。