前言

这段时间一直在搞漏洞扫描方面相关的东西,之前也写过一些小的扫描器demo,接触到挺多开源和商业版漏扫。简单念叨一些web扫描器相关的思路吧,也算做个记录。
注:本文只提供一些思路

其实web扫描器形式分很多种

  • 主动扫描例如 AWVS、APPScan
  • 被动扫描例如 Xray
  • 还有一些一把梭的插件类型扫描器,包括资产域名自动收集,指纹识别,POC扫描等
  • IAST插桩也是挺好的一种方式

当然可能按照不同角度有不同的区分类型吧,这几种类型的基本也都写过一些。其实无论哪种方式,最核心的还是要拿到流量才能往下走。

参数解析

为什么先说参数解析呢,因为后面的很多模块都会依赖这里。参数解析的是否完整,对扫描结果影响还是比较大的。
无论是GET还是POST,先把参数的raw拿回来,最后封装回去就好
先看常见的格式

  • id=1&name=bey0nd
  • {“id”:1,”name”:”bey0nd”}

这两种是最简单的,格式较为统一,urlencode或json格式,只需要判断并解析一下,然后加入payload的flag

  • id=1__PAYLOAD__FLAG__&name=bey0nd__PAYLOAD__FLAG__
  • {“id”:”1__PAYLOAD__FLAG__”,”name”:”bey0nd__PAYLOAD__FLAG__“}

看下几种复杂格式

  • {“age”:1,”service”:”getUserInfo”,”data”:[{“ID”:”0”,”name”:”sdf”},{“ID”:”3”,”name”:”sdf2”}]}
  • id=3&pdata={”service”:”getUserInfo”}&t=&group=0
  • id=3&pdata={”service”:”getUserInfo”,”data”:{”records”:[{”groupID”:”0”}]}}&version=1.1
  • {“test”: 1,”record”:{“data”: {“test”: 12222, “pdata”: {“service”: “getUserInfo”}}}}

以上这几种都是我在实际的线上环境中遇见的,在完全不知道参数格式时,解析还是比较麻烦的,burpsuite的API在获取参数时对于这种混合格式就无法解析。之前调研一些商业漏扫也是无法识别的。后来自己写的时候看sqlmap源码有了思路解决了这个问题,有兴趣的可以看一下lib\core\common.py的walk函数。

流量去重

我对于重复请求包的定义是域名及协议和url路径相同,同时参数的key是完全一致。
像这种为重复

这种则需要再次扫描

所以是否能完美的完成参数解析,就会影响到去重,把url与参数的key排序后判断是否已经存在就可以判定是否重复,对于复杂格式的依然可行。然后把去重后的流量入库后就可供扫描引擎调用,实时扫描或者计划任务都可以。

漏洞检测

这块就是一些重头戏部分了。我在做的时候参考了AWVS的设计模式。做了一些合并,把扫描插件大致分成了三类,目录结构为

1
2
3
4
5
CoreScanEngine.py
——base
——perFolder
——perHost
——perRequest

举个例子,当扫描 https://www.beysec.com/pro/test.php?id=2&name=bey0nd 这个url时

这里有个调度的问题就是perHost只扫一次,perFolder只扫当前目录,perRequest每来一个包都扫。所以如果再来 https://www.beysec.com/notpro/hello.php perHost插件就不在扫描。

总结

这些都是一些大的方向,其实每个模块都有许多细节需要处理,比如SQL注入检测模块中去掉返回包垃圾数据,restful接口返回数据尽可能去掉无关项,用分词作相识度识别的阈值设置,来提高准确率减少误报。SSRF的反链平台,每个扫描插件和模块都需要迭代优化,以及漏洞扫出来后如何闭环和打通别的平台,还是比较刺激的。