web-vuln-scan
$
npx mdskill add wgpsec/AboutSecurity/web-vuln-scanExecute deep web vulnerability scans on known targets.
- Identifies technology stacks to prioritize RCE and SQL injection risks.
- Integrates Nuclei, httpx, spray, and ffuf for automated testing.
- Selects scan strategies based on detected server fingerprints.
- Delivers prioritized vulnerability reports with proof-of-concept paths.
SKILL.md
.github/skills/web-vuln-scanView on GitHub ↗
--- name: web-vuln-scan description: "单目标 Web 深度漏洞扫描策略。当已知目标 URL、需要对一个 Web 应用进行深度漏洞测试时使用。与 recon-full(资产发现)不同——本技能假设目标已确定,聚焦漏洞层面的深度测试。覆盖指纹驱动的扫描策略选择、自动化+手动测试结合、漏洞优先级排序。优先发现 RCE、SQL注入等高危漏洞" metadata: tags: "web,vuln,poc,scan,漏洞扫描,指纹识别,安全评估,nuclei,深度测试" category: "exploit" --- # 单目标 Web 深度漏洞扫描方法论 与 `recon-full`(广度优先、资产发现)不同,本技能是**深度优先**——对已确定的单个 Web 目标做全面漏洞测试。 ## Phase 1: 技术栈驱动的扫描策略 先做指纹识别,然后根据结果选择针对性扫描路线: ```bash # 指纹识别 curl -sI http://target | grep -i "Server\|X-Powered-By\|X-AspNet" httpx -u http://target -tech-detect -silent ``` | 技术栈 | 自动化扫描重点 | 手动测试重点 | |--------|---------------|-------------| | PHP (WordPress/Laravel/ThinkPHP) | CMS 专用 POC、PHP 反序列化 | LFI/文件上传/`include()` 参数 | | Java (Spring/Struts/Tomcat) | Log4j/Spring4Shell/Struts2 | 反序列化入口、Actuator 泄露 | | Python (Flask/Django) | SSTI、Debug 模式 | Pickle 反序列化、Secret Key 泄露 | | Node.js (Express/Koa) | 原型链污染 | 依赖漏洞、`eval()` 注入 | | .NET (ASP.NET/IIS) | ViewState 反序列化 | web.config 泄露 | 不同技术栈的漏洞分布差异巨大——盲目全扫浪费时间。 ## Phase 2: 自动化扫描 ### 2.1 已知漏洞扫描 ```bash # Nuclei 扫描(按严重等级过滤,节省时间) nuclei -u http://target -severity critical,high ``` 如果指纹明确,可以缩小范围: - WordPress → `nuclei -u http://target -tags wordpress` - 已知 CVE → `nuclei -u http://target -t cves/` ### 2.2 默认口令检测 ```bash nuclei -u http://target -t default-logins/ -silent ``` 很多应用装完就忘改密码——这是最"便宜"的攻击路径。 ### 2.3 目录和敏感文件 ```bash # spray 目录爆破(推荐,智能过滤 + 高性能) spray -u http://target -d /pentest/AboutSecurity/Dic/Web/Directory/Fuzz_common.txt # 或用 ffuf ffuf -u http://target/FUZZ -w /pentest/AboutSecurity/Dic/Web/Directory/Fuzz_common.txt -mc 200,301,302,403 ``` 重点不是跑大字典,而是看结果中有没有: - **管理后台** (`/admin`, `/manager`, `/console`) → 直接尝试登录 - **配置泄露** (`.env`, `config.php`, `web.config`) → 可能有数据库密码 - **源码泄露** (`/.git`, `.svn`, `backup.zip`) - **调试端点** (`/actuator`, `/debug`, `/phpinfo.php`) → 大量内部信息 ## Phase 3: 手动测试(自动化扫不到的) 自动化工具覆盖不了逻辑漏洞和需要上下文理解的漏洞。对每个功能点做针对性测试: ### 3.1 输入点测试矩阵 | 功能点 | 优先测试 | 参考技能 | |--------|----------|----------| | 搜索/查询 | SQL 注入 | `sql-injection-methodology` | | 登录表单 | 弱密码、SQL注入、暴力破解 | `default-cred-sweep` | | 文件上传 | 类型绕过、路径穿越 | `file-upload-methodology` | | 用户输入回显 | XSS、SSTI | `xss-methodology`, `ssti-methodology` | | 评论/留言 | 存储型 XSS | `xss-methodology` | | URL/文件路径参数 | LFI/SSRF | `lfi-rfi-methodology`, `ssrf-methodology` | | XML 输入/SOAP/文件上传 | XXE | `xxe-injection-methodology` | | API 端点 | IDOR、认证绕过 | `api-fuzz`, `idor-methodology` | | JWT Token | 算法绕过、密钥爆破 | `jwt-attack-methodology` | ### 3.2 测试优先级 1. **直接可 RCE 的** → 命令注入、反序列化、SSTI、文件上传 2. **可读取敏感数据的** → SQL注入、LFI、IDOR 3. **可获取凭据的** → 默认口令、信息泄露、弱加密 4. **需要用户交互的** → XSS、CSRF(CTF 中通常不考) ## Phase 4: 结果分析与攻击路径规划 扫描完成后,不是列一堆漏洞就完了——要评估**哪些漏洞能组合出攻击路径**: **直接路径**(一步到位): - RCE 漏洞 → 直接拿 shell - 管理后台弱密码 → 后台功能利用 **组合路径**(多步链式): - 信息泄露 → 获取凭据 → 登录后台 → 后台文件上传 → webshell - SQL 注入 → 读配置文件 → 获取密钥 → 伪造 JWT → 管理员权限 - SSRF → 读取云元数据 → 云凭据 ## 注意事项 - 自动化扫描是起点不是终点——真正的高危漏洞往往需要手动发现 - 指纹识别准确度直接影响后续效率,花 1 轮做好指纹值得 - 发现一个低危漏洞时,想想它能不能和其他发现组合出高危攻击链 ## 测试优先级 - RCE 优先:命令执行漏洞可直接拿 flag - 默认凭据第二:后台权限可快速获取更多信息 ## 深入参考 - Web 漏洞检查清单与 wfuzz 高级用法 → [references/scan-methodology.md](references/scan-methodology.md)