前言

渗透测试的灵魂是信息收集，本体是在漏洞利用。收集到的资产和信息越多，你的突破点就越多，因为你找到了别人没有找到的，你测了他没有测试的，你已经领先在了起跑线上，而src得用大量的时间去做信息收集，src比的不只是技术，更比的的是耐心，细心。

信息收集篇

第一步：厂商域名:厂商的域名可以通过爱企查，企查查这类的工具去搜索主域名他曾用过的一些域名

免费会员:

https://mp.weixin.qq.com/s/h1qdBXeS4KoFzLyRVAf_LQ

icp备案也可以，但是注意要输入公司名全称

另外推荐奇安信的鹰图平台，可以用关键词查询备案网站

第二步：子域名：将收集到的域名进行子域名挖掘，针对子域名以下几点：

通过SSL证书查询:crt.sh 可以查到域名证书相关子域名

第三方接口网站：censys.io 、 fofa、dnsdb.io等等

工具挖掘：oneforall、 layer等

在线子域名挖掘（个人认为比较好用）:phpinfo.me

通过github进行收集：这个不好细说，懂得都懂。

第三步：查询IP段，在查询玩子域名后我们已经获得了大量的IP 我们可以通过IP所属网络进行反差查找厂商所拥有的IP段：

https://ipwhois.cnnic.cn/index.jsp 

这个不仅可以通过IP查询所属单位和网络名称还可以通过网络名称再反查网络段

第四步：获取IP后，进行批量的端口扫描，这里各位就各凭本事，谁还不会个端口扫描了？

信息收集就说到这里，信息收集的主要目的就是扩大可利用面，10000万个资产你可能碰到弱口令，但1个资产你肯定没有弱口令

挖掘前篇

前边已经讲了信息收集，在测试前为了能高效的挖掘src，就需要有数据进行测试，这个数据就是我们常说的字典，字典怎么来，整理，收集，经验，积累。先说以下字典的类型：

目录字典：目录探测、后台探测、功能探测

漏洞字典：除了常规的目录字典，收集漏洞字典也是很有必要的，如spring-boot框架的字典、git泄漏、压缩文件泄漏、系统配置等

参数字典：这类的字典很多，需要自己收集，比如密码，用户名，常见参数，等字典

漏洞fuzz：xss payload、上传payload等

这些都需要进行灵活的使用，能极大的我们的挖掘漏洞过程中的效率。

挖掘篇

首先讲一下漏洞挖掘的方向

一般来讲个大src的侧重不同，如果经常跟一家src，那么有新功能上线就能快人一步发现漏洞，其次除了web业务应用，app、小程序等服务也是挖掘的重点。当然在挖掘的过程中会遇到抓不到数据包、app闪退、全流量加密、waf拦截等各种问题，这些网上都有相应的解决方法，只能在遇到的过程中逐步解决，也可以参考雷石之前发的文章。

最后着重讲一下逻辑漏洞，其他漏洞也有多，但是大厂除了逻辑漏洞外，其他漏洞相对少些，上传、csrf、xss、sql注入等也是有的，重点还是从功能上看，尽可能对相关业务功能很熟悉，可以猜测参数意义，看到某些参数就能去知道该测哪些漏洞，漏洞挖掘自然不在话下。

这里我主要讲述自己常用来测试逻辑楼的功能点，供大家参考：

逻辑漏洞容易出现的地方及相应问题：

支付处（订单生成、订单处理）

注册处（恶意注册、绑定）

登录处（第三方认证、登陆绕过、凭证伪造、凭证窃取）

验证码（验证码无效、不刷新）

业务处理（权限管理、业务逻辑绕过）

密码找回处（任意密码重置、认证绕过）

先说登录处的逻辑缺陷：

1，通过用户直接爆破密码

2，做了用户登录锁定，通过密码爆破用户

3，存在返回提示用户名错误，爆破用户名

4，Cookie的伪造，修改字段中的某种来进行登录

5，固定的session，比如修改session中的会话ID造成越权行为

验证码：

现在的验证码各种各样，最常见的就是手机验证码登录，这也是逻辑漏洞的所在而验证码的测试主要分为以下种类：

时间，和次数的突破：重复提交，待验证码的数据包看返回结果

绕过验证：直接删除cookie或者验证码绕过

篡改：修改相关数值，造成短信轰炸

密码找回：

在密码找回时通过修改用户名，导致被修改的用户名密码被修改

查看请z求连接中是否携带验证

手机找回密码时，返回包中携带验证码

密码或密保问题出现在源码中

业务逻辑漏洞:

业务逻辑出现问题最容易出现的问题就是越权，

越权可分为两种，一个是水平越权和垂直越权越权漏洞的常见电

修改、重置、找回其他账户密码

查看、修改其他账户未公开的信息，例如个人资料、文件、数据、程序等

与账户关联的权限操作

水平越权：

基于用户身份：比如说可控参数修改1变成2 从张三的账号变成李四

基于文件名：比如下载文件需要收费，通过接口功能访问文件名直接进行下载，读取等操作

基于对象id:通过修改id值去访问其他用户信息

垂直越权：

未认证直接访问功能点

不具备某功能权限绕过认证 比如登录后台先访问后台，再跳转到登录界面，通过丢弃验证包直接进入后台，访问后台功能点和数据

支付漏洞：

支付漏洞就一句话：数据篡改（当然好多漏洞都可以这么说，哈哈）

比如将参数改成1毛通过1毛购买苹果收集等操作。金额，数量都是可以篡改的地方

小结

挖掘src漏洞最主要还是挖掘逻辑漏洞，无非就是耐心，细节，多留意数据包的可疑数据，数据包所实现的功能。