（施工中）

前些日子作为学院的苏州学生，受邀参与HVV进行学习。在这些天里，我自认为收获很多。然而心绪纷乱，故而加以整理，以便日后反省学习。

---

关于HVV

关于流程

我们本次实战的流程，其实还是最基础的一套。

首先，使用EZ、无影之类的工具，对初始的资产进行资产分拣，快速分离出域名、子域名、url和ip。
这一步是为了分离不同的资产形式，便于应用不同的工具。在一开始，我们的方向是使用各种工具，尽早扩大攻击面，让更多的漏洞有暴露的可能。

然后，对于域名，使用空间测绘进行指纹、子域名以及ip信息查询。同时，也对其进行子域名爆破，但是考虑到子域名字典的数量级，以及cdn的相关配置，不可能在爆破期望有多好的结果。对于ip，进行端口扫描。

现在，我们有了基本的，有一定规模的攻击目标了。接着，进行漏洞扫描，获得足够多的漏洞和指纹信息。（请允许我将指纹扫描并入漏洞扫描中）

最后，是对漏洞进行分析利用，写成报告。

关于漏洞扫描

本次实战用到了很多工具，在此一一评价。只是个人看法，不代表工具真正水平。

一、nuclei

非常好用的通用扫描器，量够大，能管饱。相当一部分的漏洞，就出自nuclei。

在使用中，我们用的是onefox的nuclei可视化版本，可以很方便的搜索模板，对漏洞进行手动验证。nuclei也可以自动更新模板（需要一定的github网络连接条件），不用多费心，并且在识别精确度上相当高。很多其他工具的自带验证扫描，感觉是以“有没有回显”而不是“有没有对应的回显”来判断的，因此有一定程度的误报，至少是不能忽视的程度。而nuclei，我去看它扫出漏洞或者指纹的模板，都是有对应的字符串匹配的，可以放心一些。

但是，在使用nuclei的过程中，发现其有很大一部分的Skipped…Unresponse…，这部分中不乏能够正常访问的。我尚且不明确相关的原因，设置ip代理之后发现情况依然存在。此外，在大数据量的情况下，nuclei因其约9000的模板数量，需要很多时间。

二、afrog

结果清晰，扫描稳定，提供了剩下的大部分的漏洞。

感受和nuclei差不多，但是有些时候，同样的资产下afrog扫出来的漏洞要更多一点。精确度上略输nuclei，胜在输出美观有效，能够快速清晰地看到结果。

三、fscan

模板量小，在外网扫描极快，有速度优势，但在精确度和覆盖率上不够看。还是将其专注于内网扫描吧。

因为较快的速度也提供了一些足以写成报告的漏洞

四、dddd

感觉和nuclei以及afrog有很大重复，没有太多关注。

（直到比赛快要结束了才想起来这个工具）

无、EZ

挺好，但是没影响

关于漏洞利用

在扫描出漏洞之后，如何进行分析利用呢？

关于分析漏洞

首先确定漏洞是怎么扫到的，如果是nuclei扫描到的，就在nuclei的template中搜索，看看POC是怎样的，可不可以利用。如果是其他来源，或者想要进一步验证，可以到POC汇总的网站上找找，这里给出一些。

• Web应用漏洞 | PeiQi文库
• Threekiii/Vulnerability-Wiki: 基于 docsify 快速部署 Awesome-POC 中的漏洞文档
• wy876/POC: 收集整理漏洞EXP/POC,大部分漏洞来源网络，目前收集整理了1300多个poc/exp，长期更新。

具体的漏洞利用，用的比较多的有：

• IWannaGetAll
• shiro反序列化利用工具（onefox）
• nacos综合利用工具

关于整体情况

我们的成果中以api接口文档泄露、各种OA漏洞和未授权居多。但是整个活动的统计来看是以弱口令最多，未授权次之。我推测，应该是我们的弱口令掌握的不够，这个一个需要灵感和积累的方向，不是常人一般能够学习的。弱口令的收益是极高的，因为后台往往伴随着各种各样的漏洞。

关于发展趋势

与主办方闲谈时，了解了一些发展趋势。不过更多的是他的个人主观和闲话，不一定属实。写出来谈谈，也不是什么机密。

现在，面向政企部分的网安行业基本上是处于百花齐放之后的余波，疫情前发展的不错，但是之后不怎么行。现在仍有很多企业选择在这个行业上，但是整体上是几家独大。一来是因为这个行业很需要积累，无论是资本意义上的还是经验、人才意义上的。二来是因为国家希望涉及政府、公有资产的安全部分，能够有一套自己的班子来干，而不是交由企业。所以，有意识的多开展HVV，也有这方面的考虑，希望能够通过交流学习，培养自己的人。用个专业化的名字，就是“国进民退”。