官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
zero1234- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
前言
自己本身是一个学习两年网络安全的小白师傅,想想两年来都没有系统的学习过,所以就想着看看小迪的课程,顺便将自己的理解与小迪的课程做一个结合,以文字+图片的形式呈现给大家。看了小迪的课程,真觉得小迪的课程是yyds!-- 我看的是2024年的视频
学习内容
【基础入门】第13天:Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份
学习地址:【小迪安全】全栈网络安全 | 渗透测试 | 高级红蓝对抗 V2024最新版 (完)_哔哩哔哩_bilibili
学习目录
正式开始
知识点一:指纹识别是什么?公开、开源的源码如何寻找?
指纹识别,指的就是这个网站的代码用的是什么框架的代码。又问了,什么是框架?框架就是有人,写出了一个网站代码,然后这个将这个网站代码命名,那么这个网站就叫一个框架。比如我们熟知的若依OA、泛微OA、博客网站,这些都是框架~
公开、开源的一个源码,它具有什么性?普遍性!普遍性会导致什么?特征明显!特征明显会导致什么?容易被工具识别!容易被在线网站识别!(如果不了解开源、闭源的朋友可以前往:第一天)
首先我们介绍一些指纹识别的在线网站
这里是小迪的一些指纹识别,其实我感觉这些都已经比较老了,也不常用。
我更推荐初学者使用360和fofa进行指纹识别,因为会更加的清晰明了
可以直观的看到,这就是一个使用框架的网站,初学者可能不知道什么是框架或者认不出框架,没关系,大部分的框架都会带有CMS、系统、OA这三个字眼,只要看到这些字眼的,就可以确定是框架。
那么网站的框架就一定可信吗?
nonono~还是要你们自己去验证,怎么验证呢?很简单,下载该框架的代码,然后通过同样的路径去访问就可以验证了~
搜索后直接下载源码,或者寻找它的文档,或者去GitHub上寻找一个对应的路径(当然这是图省事最不推荐的做法)
这里我就在GitHub上找到了该框架的源码
然后使用,一拼接,诶那大概率就是这个框架了。建议可以多尝试几个文件~
使用FOFA,进行搜索FOFA
可以看到,这个地方是打码的,两个方式:自己充值vip,去咸鱼淘宝等地方购买试用~
这两种方式,自己充值的vip可以直接在网页试用,去购买的vip需要配合工具~
最友好的方式是通过360~把这个ip丢到360中
当然这就是公开的源码的一个搜索方式,因为这类源码名气比较大,使用的人比较多,所以它更加容易的去搜索、去发现~至于具体的版本信息,还需要我们在渗透测试中才能进一步的发现。
讲完了开源的源码如何寻找,那么我们如何发现网站闭源的呢?
转载:常见的Web源码泄漏漏洞及其利用 - SecPulse.COM | 安全脉搏
Web源码泄露的漏洞:
git源码泄露
svn源码泄露
hg源码泄漏
网站备份压缩文件
WEB-INF/web.xml 泄露
DS_Store 文件泄露
SWP 文件泄露
CVS泄露
Bzr泄露
GitHub源码泄漏
我们一个一个的将过去,git源码泄露,是什么呢?
首先要弄明白这个,我们就要弄明白/.git/这个文件夹是怎么来的,别看上面说的很高大上,听不懂,但实际其实是一个很简单的东西。例如:
我们以IDEA为例子,这是一个编程软件
我们看第一个文件夹/.idea/ 这个文件夹其实就是编译器(就是这个软件)自己自带的一个文件夹,这个文件夹里面的文件有关于代码的修改的记录。这个记录相当于一个日志记录,会把修改代码的内容都进行一个记录。
有类似的一个文件信息之类的东西。下面以实战给大家举例:
已经知道这个网站存在.git泄露的问题
下载好工具,工具在文章里有:
这就运行结果,成功的把修改过的文件记录下来。
可以看到非常的多,但值得一提的是,这并不是完整的源码,/.git/目录的作用是用来记录代码的变更记录等,所以如果没有进行变更的代码它是无法记录的,但我们实战中往往也获取不到完整的源码。
SVN源码泄露,也是类似的东西
可以看到这里有泄露源码。
使用工具:
结果:
还有针对使用苹果电脑,就是mac系统用户的源码泄露。当然这个和上面的有所区别:
它与上面的区别就是,你只能得到它的结构,网站目录的结构,但得不到具体的代码内容
这些文件夹里都没有信息
还有一些不常见的,我就不一一说明了,可以自己去看。
关于备份文件泄露,其实很好理解,许多人都喜欢把工具啊、代码啊压缩成压缩包。然后又喜欢复制粘贴,没有选择移动粘贴,所以导致网站目录下存在备份文件.zip .rar等等
然后你一访问,就下载下来了,就这么简单
探测压缩文件的工具使用御剑即可
输入域名一扫即可~
除了以上两种泄露情况:
还有一种我们渗透测试中也极为常见的,通过GitHub、Gitee搜索源码。
这要怎么搜索呢?很简单~
以小迪的博客网站为例:
可以看到360并未识别出来小迪博客网站使用什么框架,那我们要如何寻找呢?
通过f12,寻找有明显特征的js文件,啥你说什么具有明显特征。emmm这我觉得是要靠经验的,最好呢就是寻找一个js文件中的QQ号、手机号、或者中文字段也许会有收获~
我们先说什么叫不明显特征的
像这类的js文件,基本上就是没有特征性的,它属于一个常见的中间件,如果我们以它进行搜索,那么就会搜索到
几千条的结果,你从几千条里找到对应的框架,这无疑大海捞针
那么我们就要缩小范围,不能寻找这类的js~
这个js就看起来不像每个网站都有的,那么我们就可以试试看
这里一看,诶就两条结果,我们点进去看看
诶是不是就找到了,这么是一个博客的程序,然后下一步就要自己去验证了,如果验证成功了,那么我们是不是就获取到这个网站的源码了,这里就不演示了~
实战二:
像这个看起来有明显特征的登录入口,我们可以使用谷歌识图
可以看到,这里就直接展现的框架的名字,泛微OA~
这就是我们平常使用最多的两种方式,加以联系你也能轻轻松松的找到源码噢~
可能有人会问,诶源码不会被修改嘛?哈哈,这当然可能会,但大部分时候其实不会,就比如我们买了一个笔记本电脑,难道我们会将它拆了,然后重新组装嘛?顶多是加加内存条、硬盘等组件,电脑自带的配件一般不会进行更改!!!
总结:
这里介绍了三种情况我们应该如何获取源码、以及源码。相信大家往后需要寻找一个网站的源代码就不会那么难了,至少有了自己的思路,剩下的就要靠多实践了。值得一提的是,演示只是理想状态进行的,真实的渗透下我们要进行收集的时间往往是5-6个小时,才可能摸索出一个网站的源码,甚至是找不到这都是可能的,所以大家要多进行实践才能运用自如。
知识点二:如何寻找黑灰产业的源码
可能有小伙伴的工作需要,以后会为国家效力,需要寻找黑灰产业框架的一个源码,我们应该如何寻找呢?
如果按照上面的一个思路,那么我会告诉你很难,或者根本找不到。
这里面有一个逻辑性的思维,例如黑灰产业的程序是普通人需要使用的吗?黑灰产业需要的金融类程序成本会很高吗?当然不会,做黑灰的人都是要盈利的,那么势必就会造成他们的程序不会很贵,涉及金融的程序更是如此。那么我们应该去哪些网站上寻找这些源码呢?
我们得去购买源头寻找
我们以这个软件为例,这是一个yueyue的软件,做的就是擦边的东西,那么我们要怎么找到他们的源码呢?
那么就得去寻找这类制作程序的网站商城,通过图片的对比,以及关键字的搜索。比如赌博类的搜索波波,波比。约约类的搜索交友这些关键词来检索我们需要的源码信息~
这样是不是就成功的找到了对应的源码
那么我们应该如何去寻找到对应的这种做擦边球网站的商城呢?
不要使用百度、要使用谷歌浏览器,然后直接搜索某某代码商城即可,就会有一堆服务器在国外,做一些擦边球的网站商品。其中就可能有你需要的目标~
总结:
黑灰产业的源代码逻辑往往是需要我们去到一个大型商城去查看的,这些商城里面可能就会卖一些不合法的东西或者是擦边球的东西~
大总结
本章的内容主要帮助大家如何去寻找网站的源代码,在寻找的过程中我们应该多站在开发者的角度去思考,例如:这个网站的源代码是否是自研的,这个网站的源代码是否经过魔改。当我们找到对应的源代码文件的时候,就还需要进行一个版本的判断,然后才是对代码进行一个代码审计的漏洞挖掘。当然对于寻找网站源代码的这件事,还需要多站在开发者角度思考,它们常常会在什么地方泄露这个代码,会不会上传到公共网络平台等~最后祝大家天天开心、快快乐乐!
免责声明
本文所包含的内容仅用于教育和研究目的,旨在提高信息安全意识,帮助用户了解网络安全防护的重要性。
文章中提及的任何渗透测试技巧、工具或方法,仅供合法授权的安全研究和测试使用。在进行任何渗透测试或安全测试之前,请确保您已获得相关系统或网络所有者的明确授权。
本文作者不对任何因使用文章内容而导致的非法活动、损害或其他不良后果承担任何责任。读者在实施任何技术之前应确保遵守所有适用的法律法规。
本文内容不支持或鼓励任何形式的恶意攻击、未授权的入侵或网络犯罪。
本文内容仅限于教育用途,不得以任何方式用于未经授权的网络安全攻击或破坏行为。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
小迪课程文章版2024
- 25 文章数
- 30 关注者