干货！top白帽子 Gr36_ 手把手教你挖漏洞｜2017 先知白帽大会

Gr36_，男，阿里云云盾先知平台白帽子贡献排行榜排名第一的白帽子。

从 2016 年开始，Gr36_在先知平台活跃，也在国内其他众测平台“挖洞”。他对自己身份的定义是“众测玩家”。虽然Gr36_ 在先知平台已经累计拿到285950 元的奖金，他表示，赚取额外收入只是他成为众测玩家的原因之一，他在三年前接触众测，像玩游戏一样，爱上了这项“劳动”，有乐趣，还能交到好朋友，一起提升技能。

Gr36_认为，众测多方共赢的模式可以改变很多人的生活。

《葵花宝典》伤身，挖洞秘籍有益。

3月24日，Gr36_ 在 2017 先知白帽大会上，就传授了这种有益身心的挖洞宝典。以下为Gr36_ 的秘籍实录，小编()在不修改原意的基础上略有修订和删节，PPT 截图为Gr36_ 授权小编发布。

［Gr36_ 在 2017 先知白帽大会上］

我们都知道打仗时搜集情报是重中之重，安全测试中前期的信息搜集工作也是关系着整个项目成败的关键因素。

众测时拿到一个给定的测试范围，比如，一个主域名，获取到的各种信息越多，拓展出去的测试范围越广，能挖到高危漏洞的概率也越大。有一些做常规信息搜集的手段，如，IP端口扫描、子域名的爆破。但是，我要介绍一些平常容易被忽略的信息。

时下，微信已经成为全新的社交方式，大大小小的公司也开始运营自己微信公众号，很多公司采用第三方微信公众平台，有的自己研发微商城、微官网这样的系统。

这样的系统往往存在问题，如果遇到的测试背景是第三方微信公众平台，需要多花一些精力，这样会得到比较好的效果。通过微信公众号的搜索功能，直接搜索到测试目标微信公众平台的测试程序，我发现了很多安全漏洞。

公司系统经过长久的测试与开发，安全系数越来越高，我们挖到安全漏洞的难度也越来越大。相对而言，APP 作为最近几年才兴起的新鲜事物，很多公司在该领域的安全投入稍微欠缺，APP 也很容易成为测试过程中的突破口，因为可能用同样的业务逻辑，APP 有可能也存在安全问题。

这是WEB系统的密码找回最后一步的流程，整个流程在找回输入注册时候预留的邮箱，系统会将密码找回的链接，输入了密码以后抓包，就可以来到这一步，正常而言，KEY 的参数应该是随机生成的，但当时测试几次后发现KEY是不变的，那么 KEY会不会是和用户身份相关的标识呢？能够从系统中找到用户的ID和KEY的对应关系，就可以重置任意一个用户的密码，但是我在整个系统中都没有找到相关踪迹，这时我把眼光投向了移动 APP ，果不其然，我在移动 APP 登录请求发现了一些蛛丝马迹，经过比对和之前密码找回的 KEY是一样的，把这两个请求组合起来就能做到——知道用户名就可重置任意用户的密码了！

先看一个命令执行漏洞的案例。这个漏洞的奇葩之处不在于漏洞本身的利用方式有多复杂，就是一个稀疏平常的，由于拼接 os 命令造成的命令执行，关键的地方在于这个子域名是如何发现的。像这种多级子域名，光靠字典爆破是很难跑出来的，这里就是用 passive dns 数据获取到子域名数据。

通俗而言，passive dns 就是 dns 解析记录的历史数据。国内外都有提高 dns 解析历史数据的网站，利用这些网站提供的查询功能或 api ，可以获取到很多利用暴力猜解没办法获取到的子域名数据。

我有一个非常深刻的感受：漏洞从来不单独出现，某个系统出现了某种类型的漏洞，说明负责开发这个系统的程序员的安全意识不强，安全编码不规范，有非常大的概率，在系统中还隐藏着没有被我们找到的漏洞。最好的例子是，前段时间肆虐各大网站的 strusts 2 命令执行漏洞，大家可以猜一下 st2 命令执行漏洞的编号会达到多少？所以，历史漏洞在众测中可以给我们提供很多参考。通过漏洞平台的历史漏洞数据，能得到很多的启示和参考。

我认为，挖洞是一项非常需要想象力的活动，在测试的过程中应该多考虑一些特殊的情景，多开脑洞。

双编码注入和宽字节注入，这两种在 PHP 源代码审计中比较的常见，但是按照经验，众测过程中，在黑盒时也可以碰到这种非常规注入，测试注入时如果只是用单引号、双引号做测试，这两种特殊的注入就跟你无缘了。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!