SRC漏洞挖掘:别再盯着那些烂大街的姿势了!
SRC漏洞挖掘:别再盯着那些烂大街的姿势了!
龙哥网络安全 龙哥网络安全 2025-06-03 12:22
0x1 开场白:SRC挖洞,菜鸟的春天在哪儿?
别跟我说你还在死磕SQL注入、XSS那一套!大佬们早就把肉啃完了,汤都没给你剩。想在SRC或者渗透测试里混口饭吃,光靠教科书上的招式,怕是连门都摸不着。这篇文章,咱不讲高深的理论,就聊聊那些容易被忽略,但小白也能轻松上手的“冷门”漏洞。当然,别指望一招鲜吃遍天,但至少能让你在SRC的道路上,不至于空手而归。
记住,别把鸡蛋放在一个篮子里!大佬们吃肉,咱们就喝汤,搞点中低危漏洞,积少成多,也是一笔可观的收入!以下内容,是我和几个“身经百战”的老司机交流后总结出来的,绝对干货,拿走不谢!
0x2 邮件伪造:被忽视的社工利器?
一、SPF:一道形同虚设的防线?
SPF记录,这玩意儿说白了,就是告诉邮件服务器,哪些家伙有权以你的域名发邮件。但现实是,很多企业压根儿没配置,或者配置不当,这就给了我们可乘之机。
划重点:
如果你发现目标域名压根儿没设置SPF,或者SPF记录配置有问题,那恭喜你,可能发现了一个高危漏洞!
二、能干啥?不就是发邮件嘛!
别小看这玩意儿,想象一下,伪造一封来自[email protected]
的钓鱼邮件,内容劲爆一点,比如“你被裁员了”,或者“年终奖翻倍”,哪个员工能顶得住?社工的威力,远比你想象的要大!
虽然SRC可能给的钱不多,但渗透测试项目里,这绝对是个加分项。
记住:
没v=spf1
或者没spf
,邮件伪造漏洞跑不了!~all
能伪造,-all
就歇菜。
三、实战:Kali在手,天下我有!
先拿baidu.com
开刀试试水:
nslookup -type=txt baidu.com
或者
dig -t txt baidu.com
如果看到-all
,说明百度安全意识还可以,咱们换一家。
四、SPF解析错误?天上掉馅饼!
复制SPF配置记录,扔到这个网站检测:https://www.kitterman.com/spf/validate.html
如果提示“spf解析配置正确”,那就没办法了。但如果报错,比如下面这个:
多个IP段,只有开头用了ipv4,语法错误!整个SPF记录直接失效!
五、Swaks出击,邮件轰炸!
Kali自带的swaks
,伪造邮件的神器!
swaks --body "helloword" --header "Subject:testT" -t 你的邮箱 -f [email protected]
-
body
:邮件内容 -
Subject
:邮件标题 -
-t
:目标邮箱 -
-f
:伪造的发件人
注意:
伪造的发件人别太离谱,否则直接进垃圾箱。
先搞个临时邮箱:http://24mail.chacuo.net/
然后开搞!
swaks --body "【2024年8月1日】 检测到您教务系统长时间未修改密码,请及时修改密码确保账户安全 手机管家@163.com 【该邮件自动监测请勿回复】" --header "Subject:vivo" -t [email protected] -f [email protected]
如果标题和内容再走心一点,钓鱼成功率绝对up!
六、总结:SPF,邮件安全的阿喀琉斯之踵!
SPF配置不当,等于给黑客开了后门。绕过策略就藏在SPF记录里,就看你能不能发现了!
0x3 Sourcemap泄露:前端代码任你扒?
一、什么是Sourcemap?JS代码的“裸奔”?
如果你在网站上看到.js.map
结尾的文件,那就要小心了!这玩意儿是Webpack打包的副产品,有了它,你可以把压缩混淆后的JS代码,还原成原始代码!
这就像扒了JS的衣服,API接口、敏感信息,一览无余!
二、Shuji:一键还原,简单粗暴!
npm install --global shuji
shuji app.js.map -o desfile
还原后的代码,慢慢分析吧!说不定能找到未授权访问漏洞!
三、油猴脚本:自动搜索,懒人必备!
https://greasyfork.org/zh-CN/scripts/447335-sourcemap-searcher
装上这个脚本,F12控制台输入sms()
,自动检测网页有没有Sourcemap泄露!
四、SRC报告怎么写?
-
漏洞危害:
Sourcemap泄露原始代码,可能导致API泄露、未授权访问等。 -
漏洞复现:
详细描述如何下载、反编译Sourcemap文件,以及发现了哪些敏感信息。 -
修复建议:
删除服务器上的.js.map
文件。
0x4 JSONP劫持:跨域的甜蜜陷阱?
一、JSONP:过时的跨域方案?
JSONP,一种古老的跨域通信方法,通过