本文分享了作者通过目录遍历漏洞，分析黑客服务器及数据泄露的实践过程。作者通过测绘数据获取存在漏洞的网站，分析网页结构，并进行威胁分析，包括恶意软件识别、黑客主机识别和数据泄露检索。文章详细介绍了数据获取方法、网页结构分析要点，以及如何利用多引擎结果和文件后缀进行恶意软件识别，最终帮助读者了解如何发现和应对目录遍历漏洞带来的安全风险。

🔍 数据获取：作者使用特定的网页标题搜索语法，如“Index of”、“Directory listing”等，从测绘数据中筛选出存在目录遍历漏洞的网站，从而获取目标数据。

🌐 网页结构分析：文章指出，获取网站数据后，需要采集每个网站的全量链接。网页结构主要分为两种：URL位于body标签内和table标签内。此外，对于特定格式的目录，需要进行特殊处理，以确保数据采集的完整性。

⚠️ 威胁分析：作者从多个角度进行威胁分析，包括： 1. 恶意软件分析：基于多引擎结果筛选可疑文件，并结合文件后缀进行识别。 2. 黑客主机识别：通过识别黑客工具，如扫描器ARL、Shuize等，来定位黑客主机。 3. 数据泄露检索：检索docx、xlsx、pdf等文件类型的URL，通过文件内容或名称确认数据泄露的单位。

原创 花十一一 2023-01-18 12:08 北京

01

—

背景

偶然机会在推上看到一篇有趣的帖子，黑客的服务器存在目录遍历漏洞，泄露了服务器上的目录文件，主机上存在不少黑客工具和受害者的信息。

分析网站数据包发现黑客通过Python启动的http服务器，造成了这个问题。

在过去几天里，我每天从测绘数据中捞取存在目录遍历漏洞的网站，然后对相关目录文件进行分析。下面将从数据获取、数据分析分两个方面展开聊聊。

02

—

数据获取

从测绘数据中寻找存在目录遍历漏洞的语法一般是基于网页标题搜索获取，具体如下。

title="Index of"title="Directory listing"title="Collection listing"title="listing directory"title="list documents"title="folder listing"title="Content of folder"title="collection of repositories"title="listing of"title="Index for"title="Listing folder"

利用以上语法可以根据X情报社区网页标题Top50排序找到目录遍历漏洞搜索的其他测绘语法，进而获取更多的数据输入。

03

—

网页结构分析

获取到网站数据后，接下来需要采集对每个网站的全量链接，目前我看到的网页结构有两种。
（1）url写在body标签内

（2）url存在table标签内

另外在进行递归采集url的时候，会碰到如下格式的目录，也需要特殊处理下。

（3）采集完数据后，可以将获取到全量数据计算hash调用S沙箱接口批量判黑白，这里我们取两个字段"威胁等级"和"多引擎结果"，多引擎判断结果可以提供样本归属类别的大概信息。

04

—

威胁分析

（1）恶意软件分析

恶意软件识别有两种思路，一是基于多引擎的结果进行筛选，搜索threat_level(威胁等级)是可疑或者安全且多引擎返回结果不是白的文件，二是搜索文件后缀，比如exe、dll、lnk等，这种搜索会搜索到不少正常文件，简单根据文件名称略去正常文件，把可疑文件丢到沙箱看看。例如：http://152.32.165.82:8000/，根目录下存在procdump、mimikatz、pwdump等转储hash的文件。

（2）黑客主机识别

识别黑客的一种思路是从黑客工具入手，形如扫描器ARL、Shuize，内网穿透工具frp等，例如主机81.70.x.x，根目录下存在扫描器Shuize。

分析文件网站下其他目录，其扫描了xxx88.com。

（3）数据泄露检索

检索docx、xlsx、pdf的文件类的url，可以根据文件内容、文件名称确认泄露的单位。

阅读原文

跳转微信打开