常常會看到有人問“小白如何成為挖洞大神”,很多剛開始接觸網絡安全的同學都可能會遇到這個問題,思考過這類問題。
如何成為大神這個問題太難了,我很難回答。不過,我覺得不論學習什麼,都是一個過程,今天就跟大家分享一下我的一些心得吧~
1
首先最重要的就是知識!知識!知識!
知識面不夠、深度不深,就想著挖洞,這是非常不合理的,不想多解釋。
正所謂:
當我們窮到連知識都不想積累的時候,我們挖的不是洞,挖的是浮躁。
2
多去實戰
小學乃至高中,老師講完課會留練習題給大家做的,這是小孩子都懂得道理。那麼,我們在學習了一些安全知識、攻擊技巧、工具使用之後,我們就完事大吉了?這樣不僅無法深入理解這些知識,更容易隨著時間推移快速忘卻,安全之路原地踏步。
最好的狀態是,學習任何一個知識、或者比如在i春秋看到一篇比較好的技術文章,都能快速的構建自己的實戰場景,實戰要做到“快”。之前加過一個好友,最開始學的是sql注入,打算用sqlmap,結果搞了兩天,sqlmap沒有裝上。學習受阻,會極大降低結果產出,甚至不了了之。
當我們實戰還無法快的時候,需要反思問題在哪,快速構建好一個實戰場景,是提升能力的關鍵。不過,不要為了快感而不停的去實戰。某個漏洞已經掌握了,卻還在用這個漏洞不停地刷,這就不對了,去做其他更有意義的事情、學習更多的知識去。
有些人會了幾個漏洞,天天靠著這點經驗去各種小網站挖,他們挖的不是洞,是寂寞。
3
積累經驗
多積累自己的經驗,整理自己的心得,這樣才能對得起自己,不是麼?以前烏雲在的時候經常有人說,多去烏雲看看人家怎麼攻擊的,學學人家思路。別人的經驗,是用來學習的;自己的經驗,是用來沉澱的。自己多總結,比如多寫blog,寫多了視野也就寬了,會發現又學會了很多更深入的知識,或者理解的更透徹、更充實。
當你不願積累,只想一路狂奔,你挖的不是洞,是空虛。
我喜歡把事情梳理成環狀,不喜歡做非持久的事情。就像上圖,是我自己總結的,圖也是自己畫的,我的想法是:
安全知識掌握的越多,我們才有能力去實戰更多,實戰越多,經驗就會越豐富,而豐富的經驗有助於我們去接受更全面、更深入的知識,最終形成良性閉環。
好了,不吹牛逼了,接下來說點務實的例子。以下內容均為主觀想法,若有異議,歡迎噴,也歡迎討論。
哪些知識重要?
linux操作系統、網絡原理、數據庫,沒了。
我就想研究web安全,不需要上面知識吧?其實不然,很多XSS的檢測程序都是linux上運行的,你要是想寫一個xss自動檢測腳本,可能也會在linux平臺運行。有些xss,為了快速試水進行測試,可能需要抓包、改包,對網絡不瞭解,總歸有時候會不順暢。還有這種案例,通過sql注入篡改頁面,最終xss劫持所有用戶。
我覺得,linux是安全測試的較好平臺;我們的任何攻擊,離不開網絡;企業的存儲,離不開數據庫。
linux:鳥哥的linux私房菜——基礎學習篇
網絡:HTTP權威指南
數據庫:sqlmap源碼通讀,集成了所有sql攻擊精髓
工具的使用
工具很重要,工具可以讓我們快速、容易地嘗試攻擊,並通過攻擊,來學習原理。一個好的安全測試人員,手頭會有大量的工具。
常見工具都有哪些?i春秋的實驗室,裡面涵蓋了大量的工具,對於新人有很好的參考價值,如圖。
但是,我不建議搞太多工具,有些工具就不要再花時間和經歷深入研究了,做個簡單瞭解就好了。
就拿sql注入來說,有明小子、啊D注入等等,我建議不要再研究這些有時代回憶的工具了,這些工具不是不好,而是有些過時了。我覺得更應該花時間研究sqlmap,深入sqlmap,甚至針對特定場景給sqlmap寫插件,以及嘗試用brupsuit和sqlmap進行組合使用,這樣才有意義。和同類其它工具相比sqlmap更具有:
功能強大,基本覆蓋了啊D注入等工具的功能
社區支持,定期更新
擴展性強,支持開發者自行編寫插件
平臺移植,多平臺通用,適用群體廣
好的工具,不一定要具備上面的特點,但是我們要學會區分,儘量選擇專業的工具,做專業的安全測試。
當然,有些經典,不會被時間的潮水所衝退,永遠值得致敬:中國菜刀
工具重要麼
我很矛盾,剛說了工具很重要,又來問工具重要麼。。。
工具重要,因為工具是利器。但也不是那麼重要,因為怎麼使用工具、組合工具、自己針對特定場景開發滿足需要的工具,更重要。可以參考這篇問題網站漏洞,能通過手工注入滲透嗎?,我的回答:
說下我的個人理解,我覺得所有自動安全檢測、黑客工具,這些都只能算作工具。
工具是“工作時所需要的器具”,而使用工具的人才是重點,不能只停留在工具層面,大部分成熟網站都不會直接被工具掃描到漏洞的。不然,大公司的安全部門,豈不是打醬油了?
我在安全方面一點都不厲害,甚至比較菜,不過我知道提升安全最重要的是經驗。工具的教程到處都有,多學學多練練,“學精”只是時間問題。而重點,其實是提升經驗,經驗多的人,才會知道如何運用工具,在關鍵突破點上運用它。
當我們還處於被動使用工具檢測時,說明我們經驗太少,要學會主動使用工具。
舉幾個例子
1
對一個網站進行安全測試,直接上wvs跑,沒問題,就真的沒問題了麼?
不見得,註冊、找回密碼、驗證碼突破,這些流程肯定都掃不到,這些是需要半人工半自動才能檢測出來漏洞的。
在對大網站進行檢測時,我每次都會花至少半個小時,詳細的整理目標網站完整的賬號流程,每一次數據傳遞、頁面或流程的跳轉,都要畫到流程圖中,然後看圖,尋找每一個節點是否可能存在漏洞。可能的,就花時間深入分析,分析的時候就會用到各種工具,比如brupsuit、sqlmap、社工庫等等。
這方面經驗,也有很多可以參考,比如以前烏雲庫整理的密碼找回漏洞挖掘流程:
除了這個,可能短信驗證碼也存在問題,也可以花時間測試:短信平臺相關常見問題整理
2
sql注入
我遇到過一些sql注入的點,都不是直接複製url地址傳給sqlmap -u參數就能跑的。而普通工具,一般只能檢測最簡單的get和post。
對於一些數據進行處理過的,特別是js進行數據封裝後才傳給服務器的,直接跑注入腳本,網站接口肯定報錯,格式不正確。
這裡就需要有一定的接口調用經驗、js經驗,摸索出來網站數據傳輸做了什麼特殊處理、是否有加密等等。
比如有的網站,檢測提交文章注入點,post參數中是傳了unixtime時間戳過去的,而時間戳太久,接口會報錯。那麼就需要每次提交的時候,更新時間這個參數。
再比如,有的網站登陸,密碼是md5加密過才傳輸的,服務器對密碼長度後臺做了32位判斷,我們進行注入檢測時候,就需要每次sql注入都把參數變成32位,不足的用註釋方式補全,超過32位的構造語句就要放棄。這個就完全不能直接用sqlmap來跑了。
3
目標網站目錄掃描
對於有waf的網站來說,你直接用御劍掃描,可能剛掃了10個url地址他就給你封了。
等御劍掃描完畢,肯定會顯示沒有敏感目錄洩露,沒有經驗的就會放棄了。
實際上,很可能有敏感目錄洩露,而我們沒發現。所以,每次掃描不到,我都會手動去目標網站進行嘗試,發現網站都不能訪問了,肯定說明ip被防火牆封了。
一般這類waf機制,都是異步延遲封鎖,也就是你掃描了一定數量請求,才對此ip封鎖。
那麼解決辦法就是,ip代理。
最簡單的思路,直接把御劍的字典拿來用,然後用python寫個腳本調用url庫,每發幾個請求就換一個代理,網上免費代理也很多。最終,還是可以成功的。
這個過程,工具沒有用麼?當然有用啊,御劍的字典起到了關鍵作用,但是御劍本身就不能直接用。
漏洞場景的製作
我們學會了一個漏洞原理、或者瞭解到了一個最新的漏洞被公開,這個時候,大家最迫切的就是想測試。
但是,很多新人會有測試瓶頸,因為無法快速構建一個測試環境。比如,某天曝了一個wordpress 某某版本存在sql注入,如果我們的電腦環境沒有php,那麼還要自己創建環境。就算有php環境,部署特定版本wordpress也可能會遇到各種困難。
試想這個場景:
手握最新漏洞,怎奈測試環境不會弄,無處使用?
怎麼辦呢:
待到水復山重,將我辦法記心中!
有兩個網站,非常不錯。一個是shodan,一個是zoomeye,類似產品有很多,但我只推這兩款。這是什麼工具呢?你可以把他們理解成搜索引擎,但是收錄的不是常規網頁,而是收錄的服務器信息,端口信息,網站信息等等。
我覺得,這兩個平臺,是滲透測試人員非常好的打靶場!
這裡主要介紹下zoomeye,誰叫我喜歡餘弦呢,最初的zoomeye就是他主導負責建立的。
網址:https://www.zoomeye.org/
直接切入主題,高級搜索:
這裡面,可以選擇非常多的選項,幫助我們篩選網絡空間中滿足需求的服務器。
以下測試均為真實操作,不承擔法律責任,請大家謹慎使用。
比如discuz的一個古老的漏洞,discuz X1.5版本,存在sql注入,可以利用sql注入上傳文件,最終拿下服務器。
我們以這個漏洞為例子,並選擇國家為日本(國內服務器、政府、機構儘量別惹):
搜索後,我們得到了大量服務器,注意:
這些服務器中,很大一部分都會存在漏洞!!!明白了吧,靶場怎麼找!
挑一個200 ok的網址,然後拿著poc代碼跑一下,利用漏洞將“馬兒”上傳到服務器。
當然,高雅一點的攻擊者,會選擇一些萌妹子的網站,比如這個(打了馬賽克了):
利用sql注入上傳文件,再用菜刀連上,以後萌妹子天天看:
另外,對於搜索一些漏洞,shodan做的很強大:
https://exploits.shodan.io/
這裡給個建議:
shodan和zoomeye都非常好用,在搜索常見框架版本漏洞時zoomeye更擅長,shodan在漏洞查找等其他方面,感覺做的更好一些,建議兩者都用,有時候也可以結合著使用,這樣獲得的數據更全面。
discuz x1.5漏洞利用代碼下載:
https://www.seebug.org/vuldb/ssvid-20681
多積累經驗
我們要多去積累經驗,推薦新人多去寫blog,不要嫌棄自己寫的blog技術門檻低,誰又不是從低走向高的呢?
推薦幾個blog,值得學習,供參考(我只提供經常更新的良心blog,講究吧):
Solo https://blog.medowo.me/
離別歌 https://www.leavesongs.com/
3xp10it http://3xp10it.cc/
lostwolf 's bloghttp://wolvez.club/
王松_Striker 安全盒子創始人http://www.hackersb.cn/
HackBraid http://www.cnbraid.com/
Flanker Sky https://blog.flanker017.me/
還有,推薦大家一款工具:XMIND,這款工具主要是幫助我們構建思維導圖。通過思維導圖,我們可以非常清晰地梳理所學的知識,包括但不限於漏洞的分類、攻擊流程分析、所學知識彙總等等。
具體可參考:各種安全思維腦圖(戳原文鏈接下載)
寫在最後,送給那些還在堅持學習安全的人們:
找尋
夏之冰雪
2015-12-25
霧霾遮擋住月色朦朧
讓我不去喘息
在這個年底
憂鬱著不想去回憶
面對這蒼白的顯示器
好像看到自己
聽到了他們
鼠標的一聲聲點擊
疲倦的目光帶著期許
多久給我答覆
躁動的心悸
誰在訴說青春美麗
噢,夢想
那不是我的唯一
噢,夢想
那就是我的所有
人們還在努力
我應該像他們那樣學習
可是我想要的
相似不曾識
相見不能愛
注:本文作者夏之冰雪,轉載自 i 春秋社區
閱讀更多 高效運維 的文章
