志当存高远

一种收集扫描规则方法

1 背景思路

最近发现一种新的收集漏洞扫描规则的思路。 360有一款安全监测工具,360网站安全http://webscan.360.cn/ 能检测各类网站安全问题,由此猜测背后肯定是一款扫描器。 那我是不是搭建一个蜜罐程序,让他去监测,然后我将所有日志全部记录下来。这样我就有了和360一样全的扫描规则库了?

2 测试验证

以下是测试结果,提交扫描网站后,没多久我的服务器就收到很多请求日志。

GET http://blog.feei.cn/  
GET http://blog.feei.cn/robots.txt  
GET http://blog.feei.cn/  
GET http://blog.feei.cn/index.php?a=1<script>alert(abc)<%2Fscript>  
GET http://blog.feei.cn/  
GET http://blog.feei.cn/nevercouldexistfilenosec  
GET http://blog.feei.cn/nevercouldexistfilewebsec  
GET http://blog.feei.cn/nevercouldexistfilenosec.aspx  
GET http://blog.feei.cn/nevercouldexistfilewebsec.aspx  
GET http://blog.feei.cn/nevercouldexistfilenosec.shtml  
GET http://blog.feei.cn/nevercouldexistfilewebsec.shtml  
GET http://blog.feei.cn/nevercouldexistfilenosec/  
GET http://blog.feei.cn/nevercouldexistfilewebsec/  
GET http://blog.feei.cn/nevercouldexistfilenosec.zip  
GET http://blog.feei.cn/nevercouldexistfilenosec.zip  
GET http://blog.feei.cn/nevercouldexistfilewebsec.zip  
GET http://blog.feei.cn/nevercouldexistfilenosec.php  
GET http://blog.feei.cn/nevercouldexistfilewebsec.php  
GET http://blog.feei.cn/nevercouldexistfilenosec.bak  
GET http://blog.feei.cn/nevercouldexistfilewebsec.bak  
GET http://blog.feei.cn/nevercouldexistfilenosec.rar  
GET http://blog.feei.cn/nevercouldexistfilewebsec.rar  
GET http://blog.feei.cn/  
PUT http://blog.feei.cn/jsky_web_scanner_test_file.txt zwell@nosec.org  
GET http://blog.feei.cn/jsky_web_scanner_test_file.txt  
GET http://blog.feei.cn/  
GET http://blog.feei.cn/wp-admin  
GET http://blog.feei.cn/admin.php  
GET http://blog.feei.cn/nosec_Web_Scanner_Test.dll  
GET http://blog.feei.cn/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/boot.ini  
GET http://blog.feei.cn/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fwindows/win.ini  
GET http://blog.feei.cn/dede/  

等检测完,过滤分析请求日志,统计扫描规则多达数千条。 并且,我从请求日志发现一条惊人的规则:

POST http://blog.feei.cn/bocadmin/j/uploadify.php -----------------------------  
Content-Disposition: form-data; name="folder"

/
-----------------------------
Content-Disposition: form-data; name="Filedata"; filename="scan_upload.txt"  
Content-Type: text/plain

This is a txt ,please delete it and scan website again --by webscan  
-----------------------------
Content-Disposition: form-data; name="submit"  

3 意外发现

bocadmin/j/uploadify.php , 这条规则是我曾经白盒审计时发现的一个任意文件上传漏洞,影响数十家大型集团、企业官网,当时报给了补天。 也就是说,补天会将所有的漏洞利用规则添加进360网站安全里面去。 而补天的漏洞是不对第三者公开的,那如果这样的话,就可以利用上面方式收集所有未公开的漏洞检测方法,甚至是漏洞利用方式。并且用同样的方法去收集类似百度安全宝、唐朝安全扫描等等的规则集。

志当存高远
Loading