企业SRC挖洞

环境准备

1. BurpSuite插件

   • Turbo Intruder：并发发包
   • Copy As Python-Requests：将请求包一键转为python代码

2. python：从逻辑上修改请求或者响应，比bp更加灵活

3. 数据外带

   • dnslog.pw
   • 外带的时候可能会禁止访问这些常用的地址或者已经别列入黑名单的地址，这个时候可以用一个合法的域名，CNAME到dnslog.pw上面

4. 服务器

   • vps
   • 利用靶场的临时服务器：拿到靶场的root权限之后，配合webshell管理工具，相当于拥有了一个临时的vps，而且这些国内靶场的域名基本上备案，在一定程度上可以避免限制

5. ROOT机：用来测试APP

6. 信息收集：主要收集目标公司有哪些业务程序（app/小程序/web）

   • 企查查：海鲜市场开会员（一个月￥15），获取这个公司下面备案的app/小程序/web，并且一键导出
   • Google：访问官网，从官网里的推广中获取子业务以及关联app/小程序/web；把某个程序的名称和官方介绍丢给大模型，提示词“根据这个程序的主要业务分析，对用户来说这个程序可能会有哪些主要的功能，最后列举5个出来”，程序里面如果没有直接找到，可通过Google搜素这个程序的这个功能，有可能找到第三方入口进入这个功能点。

7. 企业SRC挖洞不同于”攻防对抗&众测“

   • 企业SRC中，只看重危害程度（攻击者可以直接做什么事 + 影响范围有多大），不关注利用手法；
   • 企业SRC挖掘更侧重于思路分析（抓包分析功能对应的代码、尝试修改某些数据实现某个漏洞、最后扩大危害程度），漏扫可不必理会；
   • 总之，企业SRC挖掘偏向于对某个核心业务进行单点突破+深度利用，而攻防和众测目的是快速突破（常利用边缘业务/薄弱资产）

8. Golang写的一个小工具：在windows上启动一个chrome浏览器，并在命令行中快速指定代理启动（这样可以实现同一个浏览器抓包和正常浏览隔离开来）

   • 源码

     package main
     
     import (
     	"fmt"
     	"os"
     	"os/exec"
     )
     
     func main() {
     	if len(os.Args) != 3 {
     		fmt.Println("用法: chrome.exe <IP> <端口>")
     		return
     	}
     	ip, port := os.Args[1], os.Args[2]
     
     	cmd := exec.Command("C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe",
     		"--remote-debugging-port=9323",
     		"--user-data-dir=D:\\proxyChromeUserData", //不要加反引号/双引号，路径中不要出现空格和中文
     		"--proxy-server=http://"+ip+":"+port,
     		"--ignore-certificate-errors",
     		"--allow-running-insecure-content",
     	)
     	cmd.Start()
     }

   • mod文件

     module mytools
     
     go 1.25.5

   • 编译

     go mod tidy
     go build -o chrome.exe

   • 使用

     1. 先创建目录D:\\proxyChromeUserData，然后在cmd里执行："C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe" --user-data-dir=D:\\proxyChromeUserData
     2. 可以使用编译生成的工具了，注意添加到系统环境变量/用户环境变量中更加方便：chrome 127.0.0.1 8080
     3. 这种方式可以不安装bp证书