2.2.2　案例分析

關(guān)于信息收集的重要性，眾說紛紜，甚至有人說信息收集是安全滲透測試中用處最不明顯的一環(huán)。誠然，并不是收集到的所有信息都是有效且可被利用的，但在“山窮水盡”的時(shí)候，某些信息會(huì)令人感覺柳暗花明，甚至再次找到新的突破口。下面選了幾個(gè)案例將揭示，在測試中，信息收集這一階段為整個(gè)測試過程貢獻(xiàn)了怎樣的力量。

1.服務(wù)器真實(shí)IP發(fā)現(xiàn)

開啟CDN后的網(wǎng)站，會(huì)讓用戶根據(jù)地點(diǎn)不同訪問不同的CDN節(jié)點(diǎn)服務(wù)器，并不直接訪問源服務(wù)器。由于CDN節(jié)點(diǎn)的阻擋防護(hù)，無論是滲透測試還是DDoS攻擊，攻擊的目標(biāo)都將是CDN節(jié)點(diǎn)，這樣可以更好地保護(hù)源服務(wù)器的安全。

在進(jìn)行滲透測試前找到目標(biāo)真實(shí)IP至關(guān)重要，可以通過多種方法繞過防護(hù)找到服務(wù)器的真實(shí)IP地址。最常見的方法是通過查詢歷史DNS記錄獲取服務(wù)器的真實(shí)IP，通過真實(shí)IP直接繞過防護(hù)，進(jìn)行端口掃描，服務(wù)指紋識(shí)別，繞過常規(guī)Web安全防護(hù)，擴(kuò)大攻擊面。

圖2.1所示為通過DNS記錄獲取某交易所的真實(shí)IP。

圖　2.1

2.目標(biāo)子域名探測

子域名探測是查找一個(gè)或多個(gè)域的子域名的過程，這是信息搜集階段的重要組成部分。子域名探測可以幫我們發(fā)現(xiàn)滲透測試中更多的服務(wù)，這將增加發(fā)現(xiàn)漏洞的可能性。查找一些用戶上較少的、被人遺忘的子域名，其上運(yùn)行的應(yīng)用程序可能會(huì)使我們發(fā)現(xiàn)關(guān)鍵漏洞。

進(jìn)行子域名探測的方法有很多，例如利用DNS域傳送漏洞，查看HTTPS證書和枚舉挖掘，等等。在經(jīng)過大量測試實(shí)踐后發(fā)現(xiàn)，一部分交易所后臺(tái)會(huì)隱藏在其二級域名下來保證安全。

圖2.2所示為某交易所后臺(tái)登錄界面，其子域名為21232f297a57a5a743894a0e4a80 1fc3，又長又復(fù)雜的子域名實(shí)際上并卻不安全，因?yàn)槠錇樽址癮dmin”的MD5，其全稱為MD5信息摘要算法（MD5 Message-Digest Algorithm），這是一種被廣泛使用的密碼散列函數(shù)，可以產(chǎn)生出一個(gè)128位（16字節(jié)）的散列值（Hash Value），用十六進(jìn)制表示時(shí)長度為32，用于確保信息傳輸完整一致，用代碼表示為md5（"admin"）=21232f297a57 a5a743894a0e4a801fc3。

圖　2.2

將后臺(tái)與主站分離，在某種意義上增加了管理后臺(tái)被攻擊者發(fā)現(xiàn)的成本，但并不能規(guī)避因?yàn)樽陨砣毕菰斐傻陌踩珕栴}。所以，在保證隱蔽性的前提下，管理后臺(tái)可以采用白名單IP訪問限制、強(qiáng)密碼、手機(jī)令牌等更加安全的登錄方式。

3.API接口信息泄露

API的使用頻率越來越高，占比也越來越大，所謂“能力越大責(zé)任越大”，安全地使用API固然可以帶來極大的便利，但是一旦API的安全出了問題，帶來的后果將是毀滅性的。在測試的第一步——信息收集中，關(guān)于API我們首先能接觸到的，就是API具體使用參數(shù)等詳情的信息保密狀態(tài)了。

我們團(tuán)隊(duì)對某交易所進(jìn)行安全測試時(shí)，發(fā)現(xiàn)該交易所的代碼是外包公司編寫的。在信息收集過程中，我們團(tuán)隊(duì)在Google上找到了該外包公司編寫代碼時(shí)托管在某團(tuán)隊(duì)協(xié)作平臺(tái)上的API文檔，其中詳細(xì)地說明了使用API時(shí)用到的各種參數(shù)及其類型，以及具體的含義、用處，并且在樣例中遺留了一些測試時(shí)使用的具體參數(shù)，如圖2.3所示，這對后續(xù)的測試提供了很大幫助。

圖　2.3

4.域名Whois及備案信息采集

雖然現(xiàn)在已經(jīng)有交易所注冊域名時(shí)會(huì)使用域名注冊商提供的服務(wù)，沒有在Whois等域名信息備案網(wǎng)站上泄露公司或相關(guān)人員信息，但仍然有一些交易所會(huì)“親自”注冊域名，這時(shí)利用Whois或其他工具就可以找到該交易所域名的注冊公司或相關(guān)人員的詳細(xì)信息。而這些不起眼的信息對于后續(xù)的測試（如密碼猜解、社會(huì)工程攻擊等）會(huì)有很大幫助，可以極大地提高成功率。

我們團(tuán)隊(duì)在對某家交易所進(jìn)行安全測試時(shí)，根據(jù)該交易所在Whois上留下的門戶網(wǎng)站域名備案信息找到了其注冊公司，之后又根據(jù)注冊公司的信息找到了該公司經(jīng)理（亦為股東之一）的手機(jī)號(hào)、注冊人郵箱等信息，如圖2.4～圖2.6所示。這些信息會(huì)讓測試方更輕松地找到突破口，完成測試。

圖　2.4

5.GitHub源碼泄露發(fā)現(xiàn)

部分開發(fā)人員在編寫代碼時(shí)會(huì)習(xí)慣性地將源碼上傳到GitHub等代碼托管平臺(tái)上，而這些源碼正是測試方想要拿到的信息。畢竟，如果拿到了源碼，就可以對其進(jìn)行審計(jì)工作，直接尋找編寫源碼時(shí)留下的漏洞和疏忽，這會(huì)使整個(gè)測試過程更加容易，大幅減少工作量。同時(shí)，直接審計(jì)源碼也可以使找到的問題和漏洞更加全面，具有針對性。

圖　2.5

圖　2.6

同樣，尋找交易所使用的源碼是信息收集中重要的一環(huán)，圖2.7所示是在一家交易所網(wǎng)站上找到的/.git源碼文件。我們團(tuán)隊(duì)通過審計(jì)源碼，將審計(jì)過程中找到的存放于注釋中的敏感信息和其他審計(jì)所得與已發(fā)現(xiàn)的漏洞相互驗(yàn)證，成功地在測試中獲得了該服務(wù)器的控制權(quán)，完成了這次測試。

圖　2.7

6.敏感文件發(fā)現(xiàn)

敏感文件的種類很多，其中最經(jīng)典、往往在測試過程中最能發(fā)揮作用的就是robots.txt、sitemap.xml等文件，一些敏感文件甚至可以成為測試的突破口。

下面僅以兩家交易所網(wǎng)站中robots.txt的部分信息為例。對于測試方來說，獲得這些信息就可以輕松地找到交易所網(wǎng)站中確實(shí)存在卻不允許被輕易訪問的敏感頁面。如果這些頁面存在某種規(guī)律或特點(diǎn)，測試者甚至可以找到其使用的組件、CMS等其他信息，進(jìn)而更有針對性地進(jìn)行測試工作。

在針對該交易所的測試過程中，我們團(tuán)隊(duì)也確實(shí)使用了其中的信息，配合其他手法成功對該交易所后臺(tái)進(jìn)行了測試，如圖2.8和圖2.9所示。

圖　2.8

圖　2.9