1、寻找漏洞

寻找漏洞的 2 种办法:

1) 谷歌语法

注意:用谷歌语法找站的时候,要加点中文,不然搜出来的站 可能都是英文的。

寻找 SQL 注入

  1. 公司 inurl:php?id=
  2. 公司 inurl:asp?id=
  3. 公司 inurl:aspx?id=

就像这样:
谷歌搜索sql注入点

谷歌搜索 sql 注入点

参数不一定要是 id,也可以是 tid、keyword 之类的其它参数:

  1. ?tid=
  2. ?keyword=
  3. 弱密码和越权,找后台
  4. 后台 inurl:php
  5. 后台 inurl:asp
  6. 后台 inurl:aspx
  7. 后台 site:edu.cn

后台site:edu.cn

后台 site:edu.cn

asp 和 aspx 的后台貌似还有越权漏洞。
禁用 JS,然后直接访问后台 URL,有大概率直接进去。

你问我怎么禁用 JS?每个浏览器都不一样,看看自己用的是什么浏览器,然后自己百度一下吧。

更多的谷歌语法,可以自行寻找。

2)fofa

语句和谷歌语法一样,换了个写的方式

  1. "php?id=" && country="CN"
  2. "asp?id=" && country="CN"
  3. "aspx?id=" && country="CN"

符号 && 就和 and 一样,多一个寻找条件
country=”CN”(这条语句的意思是 中国的网站)
我们挖漏洞肯定要挖国内的,所以要加上。
fofa挖国内漏洞

fofa 挖国内漏洞

还可以继续加条件,比如 server==”Apache”,那 fofa 就只会搜索中间件为 Apache 的网站,搜索功能比较强大。
fofa搜索apache网站漏洞
fofa 搜索 apache 网站漏洞

fofa 还有很多语法,可以自行查看。

2、挖掘漏洞

先用以上方法找一个站点,我一般喜欢用谷歌。
找到一个站 id=106
sql注入

sql 注入

减法,页面空白,难道有防护?
sql注入1
sql 注入 1

看看 id=107,也是空白
sql注入2
sql 注入 2

id=107-1,显示了 106 的内容,说明 107 和 105 是没东西的,差点被误导
sql注入3
sql 注入 3

and 1=1 和 and 1=2,此处存在 SQL 注入
谷歌语法新增一枚:list.php?id=
sql注入4
sql 注入 4

sql注入5
sql 注入 5

这时候可能会有人 直接上 sqlmap,作为过来人:能手注就手注,不要用 sqlmap。
因为 sqlmap 发包频率太快,容易被 ban,而且这些站 都是小站,容易跑崩掉。
我之前挖过很多站,直接上了 sqlmap,结果网站访问不了。
心里非常慌呀:网站是不是被我跑崩了?我会不会进去呀?
所以,除了盲注以外,其它都尽量手注。

判断字段数为 17
挖掘sql注入点漏洞

挖掘 sql 注入点漏洞

挖掘sql注入点漏洞1
挖掘 sql 注入点漏洞 1

联合查询,回显点为 3
记得要让前面的查询 查不出数据,把 106 变成小数 106.1
挖掘sql注入点漏洞2
挖掘 sql 注入点漏洞 2

这里给大家一个 python 脚本,输入你要的字段数,可以自动生成,不用自己手敲。(在附件里面)
挖掘sql注入点漏洞3
挖掘 sql 注入点漏洞 3

查询库名,页面空白。
咋回事?
挖掘sql注入点漏洞4
挖掘 sql 注入点漏洞 4

试了其它数据库的语句也不行,只能上 sqlmap 了
加上一个 delay=1 放慢发包速度(延迟 1 秒,可以再加)
挖掘sql注入点漏洞5
挖掘 sql 注入点漏洞 5

嗯…淦
挖掘sql注入点漏洞6
挖掘 sql 注入点漏洞 6

所以能手注尽量手注(哭)

3、提交报告

例如 www.baidu.com 发现了 SQL 注入

第一步:“标题”和“厂商信息”和“所属域名”

站长工具 https://icp.chinaz.com/baidu.com

查询域名备案信息,看到这个公司名了吗
查询域名备案信息

查询域名备案信息

这样写
漏洞类别啥的,如果不是 0day 的话,像图中一样就行了
提交漏洞
提交漏洞

所属域名 要写该公司的“网站首页”或者“官网”
看到这个了吗
查询域名信息
查询域名信息

先访问一遍,没问题再复制上去
漏洞提交
漏洞提交

漏洞提交1
漏洞提交 1

第二步:其它内容

漏洞类型:一般都是 Web 漏洞,然后漏洞是什么写什么,这里是一个 SQL 注入。
漏洞等级:SQL 注入一般都是高危,但如果厂商比较小的话,会降级,降成中危。
漏洞简述:描述一下 SQL 注入是什么、有什么危害之类的。
漏洞 url:出现漏洞的 URL。
影响参数:哪个参数可以注入 就写哪个
漏洞 POC 请求包:Burp 抓个包 复制粘贴。
漏洞poc

漏洞 poc

修复方案,也可以随便写写。
漏洞修复方案
漏洞修复方案

所属地区和行业↓↓↓
网站所属类别
网站所属类别

记得刚刚的站长工具吗,不要关,往下拉就有了。
网站信息查询
网站信息查询

不过有一些比较小的站点,往下拉没有东西,咋办呢?
域名信息
域名信息

用爱企查,查询公司名,啥都有(也可以用天眼查,不过个人感觉爱企查比较好用)
如果站长工具里面 查出来的官网打不开,就爱企查,这里也有一个官网。
如果这个官网还打不开,就把漏洞页面的域名写上去。
查询企业信息
查询企业信息

爱企查查询企业信息
爱企查查询企业信息

第三步:复现步骤

除了复现步骤,其它的内容都填完了,复现步骤也是重点。

0、IP 域名归属证明
当初刚挖 SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。报告改了 3 次才好。
ip域名归属证明

ip 域名归属证明

记得前面那个站长工具吗,没错还是他,像这样子写:
漏洞poc复现步骤

漏洞 poc 复现步骤

1、漏洞页
要让审核员看的清晰,能够完美复现出漏洞,第一步:来到漏洞页

2、该干啥
告诉审核员,来到漏洞页面之后,该干啥
漏洞复现步骤1
漏洞复现步骤 1

3、注入的结果
把注入的结果写在这里就可以了
sql注入结果
sql 注入结果

至此,一份报告就写好了,可以提交了

如果你闲每次打字麻烦,可以新建一个记事本,把框架写好,提交的时候 替换一些内容就可以了。
把标题、漏洞简述、复现步骤、修复方案
替换的时候替换公司名、域名、截图之类的
可以省不少时间

4、上榜吉时

时间:

一般提交漏洞之后,1-3 天会审核漏洞,1-8 天之后确认漏洞,确认漏洞之后才能拿积分。
周末审核不上班,顺延。
也就是说,一个漏洞,要 8-12 天才能获得积分。漏洞是几月确认的,积分就算几月份的。要算好一个月什么时候上分最好。

我一般把 “本月 24 日-次月 20 日” 当做上分时间。
比如你想冲 8 月的排行榜,你要 7 月 24 日开始提交漏洞,到 8 月 20 日停止。

由于时间不确定,有时候一个漏洞时间短,有时候时间长,所以:
7 月 23 日-月底,中幅度提交漏洞。
8 月 1 日 -8 月 18 日,大幅度提交漏洞。
8 月 19 日 -8 月 24 日,小幅度提交漏洞。

7 月底提交的漏洞,等到确认漏洞,积分会算到 8 月份,所以中幅度。
8 月初和 8 月中旬,随便交,不怕。
8 月底,担心漏洞时间太长,积分会算到 9 月份,所以小幅度。

5、快速上分

会不会觉得,谷歌语法或者 fofa 一个个找站太慢了?
想快速上分,冲榜,拿奖励?
那就要找 CMS 通杀漏洞,快速、精准。
漏洞别人已经帮你测好了,你只需要验证,如果存在漏洞,直接写报告提交,不用费时间去慢慢测漏洞。如果没有漏洞,走人,换一个站。

哪里找 CMS 通杀漏洞呢?
百度或者漏洞库,百度效率比较低,一般使用漏洞库,目前接触到的漏洞库有 peiqi 文库、白阁文库等。甚至可以上 cnvd 上找。

在文库里面找 有 fofa 语句的漏洞,比如狮子鱼 CMS 的 SQL 注入,现在挺多人挖的。
有一个 fofa 语句,拿到 fofa 搜索。
狮子鱼CMS SQL注入漏洞

狮子鱼 CMS SQL 注入漏洞

搜出来的站,就都是狮子鱼 CMS 了。
fofa狮子鱼CMS的SQL注入
fofa 狮子鱼 CMS 的 SQL 注入

下面还有现成的 POC,拿来用就可以了
狮子鱼CMS的SQL注入漏洞测试
狮子鱼 CMS 的 SQL 注入漏洞测试

fofa 批量找站 => POC 直接贴 => 如果成功注入了 => 提交报告
如果注入失败,换一个站,反正 fofa 搜出来很多,不缺这一个。

当然,那么多人挖,估计文库里的漏洞都要成为历史了,所以要找找新的。

我这里试试 拿 cnvd 来找漏洞,cnvd 上的漏洞不公开,没有步骤,fofa 语句也没有,怎么利用呢?
先搜索 CMS,然后随便选一个。
https://www.cnvd.org.cn/
cnvd漏洞共享平台

cnvd 漏洞共享平台

就这个吧,然后去百度。
极致cms存在命令执行漏洞
极致 cms 存在命令执行漏洞

不是我们想要的,不过搜到了其它漏洞,也可以看看。
极致cms存在命令执行漏洞1
极致 cms 存在命令执行漏洞 1

他说网站首页有 SQL 注入,我们想 fofa 批量找站,就要自己构造 fofa 语句。
fofa批量找站
fofa 批量找站

看了一下,貌似是 /Home/c/HomeController.php 这个文件出问题。
那么我们 fofa 就搜索:
/Home/c/HomeController.php
/Home/c/HomeController.php

随便找个站,POC 贴上去。
当然,我只是给个思路,不一定能成功。
网站出错
网站出错

也可以下载该 CMS 的源码,看看网站有什么比较特殊的地方,比如 title body 啥的,都可以用来构造 fofa 语句。

6、小技巧:冲榜拿分制胜点

漏洞积分是怎么算的?

漏洞盒子有这样一张图:
公益 SRC 漏洞
公益src漏洞

公益 src 漏洞

可以看到,C 类厂商是最低的,而我们挖的都是野生漏洞,所以高不到哪去。
百度和腾讯居然是最低?!
漏洞提交src等级
漏洞提交 src 等级

那我们挖的洞,肯定也是按最低的算:
低危漏洞 2 分
中危漏洞 3 分
高危漏洞 4 分

由于厂商太小,影响用户也小,有时候高危的漏洞 会评为中危。
这里建议大家尽量别挖反射型 XSS,因为反射型 XSS 是低危,降一级直接就没了,是浪费时间。

我一般挖 SQL 注入,大多数都在中危,少部分高危,都是 3 分 3 分的拿。

你问小技巧在哪?别急,这就来。
看,差的报告,积分减半。只要审核员能复现出来,报告一般都是良好,正常拿分。
优秀的报告 积分翻倍
制胜点就在这里了,比如你交了一个中危的漏洞是 3 分,但是你报告写的好,是优秀,积分翻倍变 6 分,相当于交了两个中危漏洞。
一个顶两
高危网站漏洞

高危网站漏洞

网站漏洞评分
网站漏洞评分

别人交 3 个中危 9 分,你交 3 个中危 18 分。
这差距直接拉开了好吧。

我这里教大家怎么写优秀的报告

我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。

漏洞描述和修复建议 也是一笔带过,什么 “过滤”“问开发”之类的。

优秀的报告,有 5 个标准。
我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这 3 个都算好,不用管。
剩下的就是 漏洞描述修复建议
漏洞修复建议

漏洞修复建议

拿狮子鱼 CMS 的 SQL 注入来说:

漏洞描述
漏洞危害去百度,改一改就是自己的了,危害最好不少于 3 点。
漏洞信息描述

漏洞信息描述

修复建议:
附件有个导图,里面有很多漏洞的修复建议,觉得不够好的话,可以自己上网再找找。
漏洞修复建议
漏洞修复建议