记某单位众测项目漏洞挖掘中的一些手法

• 0x1 前言
• 0x2 资产测绘
  • 一、资产分配
  • 二、URL探测/域名、子域名收集
    • 1、灯塔/无影工具
    • 2、POC平台
    • 3、oneforall子域名收集工具
• 0x3短信轰炸/验证码可爆破漏洞
  • 1、短信轰炸
  • 2、验证码爆破
  • 3、修复建议：
• 0x4 任意用户注册漏洞
• 0x5 SPF邮件伪造漏洞
  • 1、spf邮件伪造漏洞简介：
  • 2、漏洞危害：
  • 3、测试漏洞
  • 4、SPF解析不当导致绕过
  • 5、swaks 测试
  • 6、浅谈
• 0x6 总结

0x1 前言

哈喽，师傅们！

这次给师傅们分享的是前段时间给某单位的一个众测项目，跟着几个大牛师傅一起做的项目，这次就给师傅们分享两个我自己挖的几个不敏感的漏洞，放上去给师傅们演示下，然后给师傅们分享下，让师傅们能够对短信轰炸/验证码可爆破/任意用户注册/spf邮件伪造漏洞有一个更加深刻的感触，然后也让师傅们感受下众测。

0x2 资产测绘

一、资产分配

首先众测之前都会先给我们发一个资产的汇总表格，然后让我们跟着这个资产表格去打相关的资产，这个过程中资产收集和信息收集就很重要了，在这个过程中很多师傅们在收集边缘资产的时候，很容易打偏，导致众测甲方不收这个漏洞，说通俗点也就是没有钱。

下面这个是我前段时间的一个众测的一个资产表格，有域名、IP然后就是app、web站点、微信小程序等资产。

二、URL探测/域名、子域名收集

1、灯塔/无影工具

我们可以使用灯塔和FOFA联合使用，然后进行对目标资产的域名和IP进行一个子域名挖掘和指纹相关的识别，还有就是敏感信息探测

然后等着灯塔扫描完成以后，就可以在资产里面查看扫描结果了

需要注意的是这里的POC建议不上，直接上指纹就可以了，因为上POC很多安全设备之类的就容易把你的IP给ban了

像打POC的话可以单独使用无影这个工具或者其他的工具也可以

2、POC平台

说到利用POC了，那么我给师傅们推荐下DayDayPOC这个站点，里面的POC还是写的蛮详细的，比如在网上一些POC不公开，在里面很多都是可以找到的

网站：https://www.ddpoc.com/

你像比如最新出的一些漏洞，这个平台都有，我们查看这个站点的POC的时候需要提前注册登录下