本文分享了通过目录遍历漏洞获取数据并进行威胁分析的实践过程。作者首先介绍了如何利用特定语法从测绘数据中筛选存在目录遍历漏洞的网站，随后分析了网页结构，采集全量链接并进行批量判黑白。文章重点探讨了恶意软件分析、黑客主机识别和数据泄露检索的方法，为安全研究人员提供了有价值的参考。

🔍 数据获取：作者通过特定的搜索语法，如`title="Index of"`等，从测绘数据中筛选存在目录遍历漏洞的网站。这些语法基于网页标题，能够有效定位可能存在漏洞的服务器。

🔗 网页结构分析：获取网站数据后，需要采集每个网站的全量链接。作者观察到两种常见的网页结构：URL 位于 body 标签内和 table 标签内。此外，对于特定格式的目录，也需要进行特殊处理，以确保数据采集的完整性。

🛡️ 威胁分析：文章重点讨论了三种威胁分析方法。一是基于多引擎结果筛选恶意软件，二是根据文件后缀识别可疑文件，三是检索特定类型的文件（如 .docx、.xlsx、.pdf）以发现数据泄露。作者还提到了利用hash计算和沙箱接口进行判黑白。

💻 黑客主机识别：识别黑客主机的关键在于黑客工具。作者举例说明，通过检测主机上是否存在扫描器 ARL、Shuize 或内网穿透工具 frp 等，可以有效识别黑客主机。例如，在根目录下发现扫描器 Shuize，并分析其扫描目标，可以判断其攻击行为。

原创 花十一一 2023-01-18 12:08 北京

01

—

背景

偶然机会在推上看到一篇有趣的帖子，黑客的服务器存在目录遍历漏洞，泄露了服务器上的目录文件，主机上存在不少黑客工具和受害者的信息。

分析网站数据包发现黑客通过Python启动的http服务器，造成了这个问题。

在过去几天里，我每天从测绘数据中捞取存在目录遍历漏洞的网站，然后对相关目录文件进行分析。下面将从数据获取、数据分析分两个方面展开聊聊。

02

—

数据获取

从测绘数据中寻找存在目录遍历漏洞的语法一般是基于网页标题搜索获取，具体如下。

title="Index of"title="Directory listing"title="Collection listing"title="listing directory"title="list documents"title="folder listing"title="Content of folder"title="collection of repositories"title="listing of"title="Index for"title="Listing folder"

利用以上语法可以根据X情报社区网页标题Top50排序找到目录遍历漏洞搜索的其他测绘语法，进而获取更多的数据输入。

03

—

网页结构分析

获取到网站数据后，接下来需要采集对每个网站的全量链接，目前我看到的网页结构有两种。
（1）url写在body标签内

（2）url存在table标签内

另外在进行递归采集url的时候，会碰到如下格式的目录，也需要特殊处理下。

（3）采集完数据后，可以将获取到全量数据计算hash调用S沙箱接口批量判黑白，这里我们取两个字段"威胁等级"和"多引擎结果"，多引擎判断结果可以提供样本归属类别的大概信息。

04

—

威胁分析

（1）恶意软件分析

恶意软件识别有两种思路，一是基于多引擎的结果进行筛选，搜索threat_level(威胁等级)是可疑或者安全且多引擎返回结果不是白的文件，二是搜索文件后缀，比如exe、dll、lnk等，这种搜索会搜索到不少正常文件，简单根据文件名称略去正常文件，把可疑文件丢到沙箱看看。例如：http://152.32.165.82:8000/，根目录下存在procdump、mimikatz、pwdump等转储hash的文件。

（2）黑客主机识别

识别黑客的一种思路是从黑客工具入手，形如扫描器ARL、Shuize，内网穿透工具frp等，例如主机81.70.x.x，根目录下存在扫描器Shuize。

分析文件网站下其他目录，其扫描了xxx88.com。

（3）数据泄露检索

检索docx、xlsx、pdf的文件类的url，可以根据文件内容、文件名称确认泄露的单位。

阅读原文

跳转微信打开