WIH优化

0x00 关于WIH

WIH是新版ARL新缝合的一个闭源脚本，目前最新版为WebInfoHunter version: v1.5.4-beta，在实际使用的过程中，遇到过多次，举个例子，比如说我在用Burp+burp插件能扫描出一些key，返回到ARL中去查看WIH的结果(已知资产存在ARL，并且符合WIH中的规则)，发现这个Key并没有被记录下来，存在丢包的情况是非常难受的，故有了此篇笔记，记录一下我个人是怎么魔改WIH的

0x01 规则的完善

关于WIH的相关文件路径如下：

• ./code/app/dicts/wih_rules.yml
• ./code/app/routes/wih.py
• /code/app/modules/wihRecord.py
• ./usr/bin/wih

其中主要还是依赖./code/app/dicts/wih_rules.yml规则文件以及./usr/bin/wih源文件，我们先对规则文件完善，目前能想到的思路是除了个人经验以外，最好的思路是参考Burp suite最新版的BChecks，关于BChecks主要的目录规则如下(主要聚焦标注为Passive与latest.response.body部分的规则)：

• vulnerabilities-CVEd：CVE 的特定漏洞
• vulnerability-classes：特定的漏洞类别
• other：社区创建的其他 BCheck
• archived：旧版本 Burp Suite 的用户保留的已存档 BCheck

规则添加

最终的添加的效果如下：

• 识别Netscaler和Citrix ADC站点
• 敏感文件识别，依靠后缀
• 可能的未授权文件识别，识别出ftp、ldap、smtp写在前端的地址
• sourceMap识别
• 腾讯文档识别
• Prometheus未授权访问识别
• BurpSuite BChecks Certain-leaks-checker 800+规则

rules.yml

0x02 ARL中WIH的完善

关于WIH存在的问题

1. WIH扫描站点的时候，如果前端没有js文件，则会自动跳过检测，不会去触发规则扫描，如图，1.html中存在password:123456，当是前端不存在.js文件，所以会自动略过，不会触发规则扫描

问题2：ARL中缝合的WIH默认是不加-f，也就是不跟随重定向，比如当直接扫子域名的时候，xx.com/index.html页面存在aksk，当是如果直接-t xxx.com是302状态不跟随跳转的话，会直接略过，这会导致我们错过很多成果

问题3：ARL中缝合的WIH同时默认也是不加-dc，意味着当扫到AKSK的时候，WIH会调用API的校验aksk的有效性，会触发AKSK的告警，研发会去应急，然后AKSK就失效了

1. docker exec -it arl_worker /bin/bash
2. vim /code/app/services/infoHunter.py

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

    def exec_wih(self):
        command = [self.wih_bin_path,
                   "-r {}".format(Config.WIH_RULE_PATH),
                   "-J",
                   "-f",
                   "--dc",
                   "-o {}".format(self.wih_result_path),
                   "--concurrency 3",  # 并发数
                   "--log-level zero",  # 不输出日志
                   "--concurrency-per-site 1",  # 每个站点的并发数
                   "--disable-ak-sk-output",  # 禁止 AK/SK 单独保存
                   "-t {}".format(self.wih_target_path),

替换规则：

1. docker cp /root/rules.yml arl_worker:/code/app/dicts/wih_rules.yml
2. 重启一下 docker-compose restart 结束

0x03 最终效果

单独运行测试

ARL WIH效果