本文分享了作者从目录遍历漏洞入手，进行数据获取、网页结构分析、威胁分析的实践过程。作者通过特定的搜索语法获取存在漏洞的网站数据，分析网页结构，并利用多引擎结果和文件后缀进行恶意软件识别。此外，还介绍了黑客主机识别和数据泄露检索的方法，为安全研究提供了有益的参考。

🔍 **数据获取：** 作者通过一系列网页标题搜索语法，如“Index of”等，从测绘数据中筛选出存在目录遍历漏洞的网站。这些语法是基于X情报社区网页标题Top50排序总结而来，为后续的数据采集提供了基础。

🌐 **网页结构分析：** 获取到网站数据后，作者分析了两种常见的网页结构，即URL写在body标签内和URL存在table标签内。同时，作者还提到了对特定目录格式的特殊处理，确保了URL的完整采集。

⚠️ **威胁分析：** 作者从恶意软件、黑客主机和数据泄露三个方面进行威胁分析。恶意软件识别基于多引擎结果和文件后缀进行筛选；黑客主机识别则通过黑客工具，如扫描器和内网穿透工具进行判断；数据泄露检索则针对docx、xlsx、pdf等文件类型，分析其内容和名称以确认泄露单位。

原创 花十一一 2023-01-18 12:08 北京

01

—

背景

偶然机会在推上看到一篇有趣的帖子，黑客的服务器存在目录遍历漏洞，泄露了服务器上的目录文件，主机上存在不少黑客工具和受害者的信息。分析网站数据包发现黑客通过Python启动的http服务器，造成了这个问题。在过去几天里，我每天从测绘数据中捞取存在目录遍历漏洞的网站，然后对相关目录文件进行分析。下面将从数据获取、数据分析分两个方面展开聊聊。

02

—

数据获取
从测绘数据中寻找存在目录遍历漏洞的语法一般是基于网页标题搜索获取，具体如下。

title="Index of"title="Directory listing"title="Collection listing"title="listing directory"title="list documents"title="folder listing"title="Content of folder"title="collection of repositories"title="listing of"title="Index for"title="Listing folder"

利用以上语法可以根据X情报社区网页标题Top50排序找到目录遍历漏洞搜索的其他测绘语法，进而获取更多的数据输入。

03

—

网页结构分析
获取到网站数据后，接下来需要采集对每个网站的全量链接，目前我看到的网页结构有两种。
（1）url写在body标签内（2）url存在table标签内
另外在进行递归采集url的时候，会碰到如下格式的目录，也需要特殊处理下。（3）采集完数据后，可以将获取到全量数据计算hash调用S沙箱接口批量判黑白，这里我们取两个字段"威胁等级"和"多引擎结果"，多引擎判断结果可以提供样本归属类别的大概信息。

04

—

威胁分析（1）恶意软件分析恶意软件识别有两种思路，一是基于多引擎的结果进行筛选，搜索threat_level(威胁等级)是可疑或者安全且多引擎返回结果不是白的文件，二是搜索文件后缀，比如exe、dll、lnk等，这种搜索会搜索到不少正常文件，简单根据文件名称略去正常文件，把可疑文件丢到沙箱看看。例如：http://152.32.165.82:8000/，根目录下存在procdump、mimikatz、pwdump等转储hash的文件。（2）黑客主机识别识别黑客的一种思路是从黑客工具入手，形如扫描器ARL、Shuize，内网穿透工具frp等，例如主机81.70.x.x，根目录下存在扫描器Shuize。
分析文件网站下其他目录，其扫描了xxx88.com。（3）数据泄露检索检索docx、xlsx、pdf的文件类的url，可以根据文件内容、文件名称确认泄露的单位。

阅读原文

跳转微信打开