請點擊上面 一鍵關注!
內容來源:安全客
作者:yida223
原文連結:https://www.anquanke.com/post/id/185426
有些朋友在滲透時掃描到後臺登陸界面,卻不知道如何入手。最近剛好在某公司做滲透實習,對目標固定的系統滲透有些體會。因此這裡講一下對網站後臺登陸界面的滲透思路,希望能為大家提供一些幫助。
0x01 開始
本人在進入登陸界面時,一般都是先用萬能密碼什麼的測下輸入框有沒有注入(現在很少見了)。如果沒有,那就先拿admin,123456什麼的測試下弱口令,不求運氣爆棚一下就猜到密碼。主要是看下回顯,查看是否存在帳號鎖定策略,密碼不正確,不存在此用戶名等信息,以便於嘗試遍歷可能存在的用戶名。沒驗證碼就上爆破工具,有驗證碼的話看看能不能繞過,實在不行手工測幾個帳號密碼碰碰運氣。
0x02 爆破
如果沒驗證碼阻礙,那爆破沒什麼好說的,拿個好字典,直接幹就是了。
不過注意下有時密碼傳輸會使用md5或者base64之類的加密,這時除了自己寫腳本外,可以使用burpsuite的intruder模塊內容。
爆破的傳統思路都是固定帳號爆破密碼,還有一種姿勢是固定密碼爆破用戶名。比如使用固定密碼123456,爆破常用用戶名或者常用人名拼音。
0x03 掃目錄
目錄掃描也是一個存在驚喜的地方,說不定能掃描到後臺未授權訪問的連結、備份文件、編輯器、敏感信息等。
像後臺登陸的網址看多了,常規的路徑像www.xxx.com/admin/login.aspx(.php)
老司機甚至不用御劍什麼的工具跑,就能直接猜到。
一般碰到下面這種情況,可採用fuzz大法。一層一層fuzz,嘗試尋找可利用的信息。漏洞銀行有一期襯衫的視頻fuzz講得很好。他用的工具是wfuzz,感覺不錯,感興趣的可以去看看。
這裡給大家講一下我做授權滲透的一個案列:
一般給客戶的後臺系統做滲透,客戶都會給個測試帳號,除了測登陸界面外,還測下後臺的功能模塊。但這次當我問客戶要帳號密碼時,客戶回:你們不是要模擬黑客做滲透測試嗎,那就自己打進去啊。( ╯□╰ )好吧,作為實習生的我也只能硬著頭皮剛登陸界面了。
先看了下連結,發現是Java站,且連結是.do結尾,但struct2工具試了下沒成功。
看了下登陸界面,有驗證碼,網站看去的版本也挺新的,感覺不太好搞。
測下注入無果,於是抓包看下驗證碼是否可以繞過或者不變,結果這個驗證碼很稱職,爆破不了。驗證碼辨認還算清楚,不過驗證碼識別,總覺得不太靠譜。。。等絕望了找不到洞再試吧。於是去掃了下目錄。誒,發現有好東西。
首先掃到了一個services服務路徑
知道了Apache Axis組件的版本信息
然後馬上想到這個組件當時剛爆出一個RCE漏洞
poc連結:https://github.com/KibodWapon/Axis-1.4-RCE-Poc
結果試了下沒成功。然後再嘗試了四月份CNVD看到的RCE漏洞也無果。
還掃出了一個ckfinder編輯器
http://xxx.xxx.com/ckfinder/ckfinder.html
一看,我滴乖乖,難道已經有黑客搞進去了?
趕緊網上找了下這個版本有存在什麼漏洞,並嘗試文件上傳繞過。但很遺憾,這個網站並不存在解析漏洞,利用不了,文件上傳也沒繞過。不過令人慶幸的是,黑客應該也沒有利用成功。
。。。
又挖了一段時間,同事竟然說他拿shell了!
what?
發現他掃目錄掃到了http://xxx.xx.com/manager/html
然後一個admin/123456弱口令進入tomcat後臺,然後傳war包成功拿到shell
看了這波操作久久無語,看來我的字典太差,tomcat目錄都沒掃出來。還有弱口令漏洞,真的很無敵。
0x04 框架漏洞
對一些CMS,已經比較成熟了,漏洞確實不好挖。如果網上(烏雲,seebug,搜尋引擎等)的歷史漏洞沒有復現成功,那一般情況下就只能尋找下邏輯漏洞、網站管理員配置錯誤或者弱口令什麼的。
對於一些不知名的框架,一般也可通過登陸界面底下的聲明中找到開發公司和產品版本時間。
在網上找找此公司產品是否爆出過漏洞。若是開源的框架,還可下載源碼進行代碼審計尋找漏洞。
像java的站,登陸頁面是.do或.action的網址。可嘗試下 struts2 命令執行漏洞,本人一般使用安恆的S2漏洞驗證工具。
又如thinkphp的CMS,可嘗試下是否存在相應版本的命令執行漏洞。本人曾在郵儲銀行的一個系統登陸界面挖到tp5命令執行漏洞拿到shell,補天評了1700元。
emmmm,當然廠商說漏洞無影響給拒了就是另一回事了……
0x05 弱口令
可能有些小夥伴對弱口令嗤之以鼻,覺得它沒有技術含量,但其實不然,結合社工,它的作用和危害可能比其他漏洞更大,希望大家重視。
剛巧最近有去公安廳複測6月HW的漏洞,檢測漏洞是否修復。幾十份報告,原以為要花很長時間,但結果卻是:差不多半小時就完成了,且部分時間是花在輸入網址上(報告不給拷到自己電腦上,只能看著公安廳電腦的報告手打網址)。
耗時少的其中一個原因是漏洞有八、九層的漏洞都是弱口令,其中大部分漏洞還都是部委級別的系統,所以測的很快。雖然hw期間比較特殊,還是比例這麼大還是挺能說明問題的。
以下是某大佬對14年底12306洩露密碼的統計分析
哈哈,可以發現我國還是對數字情有獨鍾,國外的top100弱口令還是不適合我大天朝的國情。很少有password,football之類的英文密碼。
密碼中包含有 123456 數字的,出現 3236 次
密碼中包含有 123 數字的,出現 11213 次
密碼中包含有 520 數字的,出現 4549 次
密碼中包含有 1314 數字的,出現 3113 次
密碼中包含有 aini 的,出現 877 次
次數 密碼
392 123456
281 a123456
165 123456a
161 5201314
157 111111
136 woaini1314
98 qq123456
98 123123
97 000000
93 1qaz2wsx
83 1q2w3e4r
80 qwe123
76 7758521
68 123qwe
63 a123123
56 woaini520
55 123456aa
52 1314520
52 100200
51 woaini
50 woaini123
50 123321
49 q123456
49 123456789
48 asd123
48 a123456789
48 5211314
48 123456789a
47 z123456
47 asd123456
45 a5201314
42 zhang123
41 aa123456
40 123123a
38 aptx4869
37 1qazxsw2
37 1q2w3e4r5t
36 5201314a
35 aini1314
35 1q2w3e
34 woaini521
34 q1w2e3r4
34 31415926
34 123456qq
33 a111111
33 520520
33 1234qwer
29 123456abc
29 111111a
29 110110
28 w123456
28 abc123
28 7758258
26 iloveyou
26 159753
25 qwer1234
25 a000000
24 zxc123
24 123qweasd
24 123654
23 qq123123
23 abc123456
23 123456q
22 qq5201314
22 12345678
21 456852
21 000000a
20 1314521
19 zxc123456
19 asdasd
19 as123456
19 666666
19 521521
19 112233
18 q1w2e3
18 abcd1234
18 aaa123
17 qazwsx123
17 qaz123
17 aaaaaa
17 a123321
17 12qwaszx
17 123000
17 11111111
16 zxcvbnm123
16 wang123
16 s123456
16 nihao123
16 love1314
16 caonima123
16 asdasd123
16 753951
16 5845201314
16 584520
16 159357
16 147258
16 1123581321
16 110120
15 hao123
15 a7758521
遇到網絡設備,基本像交換機、路由器、安全設備之類的,可以嘗試一下默認密碼
網上找到的,但忘了是哪個大佬發的了。
天融信防火牆,不需要證書 登錄地址:https://192.168.1.254 用戶名:superman 密碼:talent 技術支持熱線:8008105119
天融信防火牆,不需要證書 登錄地址:https://192.168.1.254:8080 用戶名:superman 密碼:talent!23 遇到設備需要把舊設備配置備份下來,再倒入新設備基於console口登陸,用戶名,密碼跟web界面一致 system config reset 清除配置 save 保存 聯想網御防火牆,需要證書(最好用IE瀏覽器登錄)
登錄地址:https://10.1.5.254:8889 用戶名:admin 密碼:leadsec@7766、administrator、bane@7766 技術支持熱線:4008107766 010-56632666
深信服防火牆(注安全設備管理地址不是唯一的) https://10.251.251.251
https://10.254.254.254 用戶名:admin 密碼:admin 技術支持熱線:4006306430
啟明星辰 https://10.1.5.254:8889 用戶名:admin 密碼:bane@7766
https://10.50.10.45:8889 用戶名:admin 密碼:admin@123 電腦端IP:10.50.10.44/255.255.255.0 技術支持熱線:4006243900
juniper 登錄地址:https://192.168.1.1 用戶名:netscreen 密碼:netscreen
Cisco 登錄地址:https://192.168.0.1 用戶名:admin 密碼:cisco
Huawei 登錄地址:http://192.168.0.1 用戶名:admin 密碼:Admin@123
H3C 登錄地址:http://192.168.0.1 用戶名:admin 密碼:admin 技術支持熱線:4006306430
綠盟IPS https://192.168.1.101 用戶名: weboper 密碼: weboper 配置重啟生效
網神防火牆GE1口 https://10.50.10.45 用戶名:admin 密碼:firewall 技術支持熱線:4006108220
深信服VPN: 51111埠 delanrecover
華為VPN:帳號:root 密碼:mduadmin
華為防火牆: admin Admin@123 eudemon
eudemon Juniper防火牆: netscreen netscreen
迪普 192.168.0.1 默認的用戶名和密碼(admin/admin_default)
山石 192.168.1.1 默認的管理帳號為hillstone,密碼為hillstone
安恆的明御防火牆 admin/adminadmin
某堡壘機 shterm/shterm
天融信的vpn test/123456
0x06 社工
在我看來社工是很牛逼的一種攻擊方式,有時可以四兩撥千斤。
像教育站,登陸帳號可能是學號,密碼是身份證後六位。百度查xxx學校一卡通丟失,一般就能從某學生的失物啟示找到學號。
或者在文章標題下,若存在作者名字,可能就是用戶名
密碼除結合管理員電話,qq,姓名等外,還可注意下網站的一些關鍵詞。曾挖過一個弱口令漏洞,密碼是網站域名+123,都不用生成字典就進後臺了。
最近剛好參加某省護網,講個例子:對某系統爆破admin用戶的密碼沒成功,於是在聯繫我們處找到了管理員的一些信息,想生成社工字典試下運氣。
本想直接用社工密碼生成工具生成字典爆破一下的,但突然想到註冊處可以遍歷用戶名是否存在
於是結合社工嘗試幾個帳號,發現聯繫我們處的管理員的帳號是姓氏首字母加名字全拼,然後一爆破,密碼123456直接進去後臺。並在後臺的搜索處發現Sql注入,再用sqlmap神器的命令 —os-shell成功打開xpcmdshell,拿到系統權限。
社工密碼字典生成,怕麻煩的可使用在線網站生成:http://tools.mayter.cn/
也可使用cupp這款工具,這是一款交互式的工具,使用比較簡單
地址:https://github.com/Mebus/cupp.git
看看生成的密碼:
另一款是cewl,它通過爬行網站獲取關鍵信息創建一個密碼字典。
但我用了下,感覺生成的字典比較多冗餘信息,很多關聯不大的漢字都包含在字典中,個人覺得不是特別好用。
還有最近freebuf看了一篇文章,才發現hashcat這款爆破工具也能生成社工字典,感興趣的朋友也可以去試試。
0x07 邏輯漏洞
邏輯漏洞是由於一些程式設計師未考慮到或者為貪圖省事,而造成的邏輯上的漏洞,一般waf不容易攔截,因此和弱口令漏洞都是現在相對容易挖掘的一類漏洞。邏輯漏洞種類十分豐富,這裡講登陸框的邏輯漏洞,主要介紹一些技巧給大家拓寬一下思路,講的不全請見諒。更詳細的漏洞細節大家可以在網上查找資源(絕不是因為我懶)。
註冊與忘記密碼模塊雲簡訊接受平臺
相信有些朋友在測試註冊模塊的時候,會使用自己的手機號,而這就帶來隱患:信息洩露,和簡訊騷擾。
這裡給大家提供兩個簡訊接受平臺,讓大家免去煩惱:
https://www.pdflibr.com/
http://www.smszk.com/
遍歷已註冊用戶
這個上面的社工例子有講,可查到用戶是否存在。
任意用戶註冊
註冊用戶不需驗證碼認證即可註冊成功的情況下,可使用工具發包,惡意批量註冊用戶。
修改發送包郵箱嘗試覆蓋註冊
註冊時顯示某用戶已註冊;
在註冊新用戶時抓包,更改自己的帳號信息為admin用戶;
可能可以覆蓋admin用戶,重新註冊成功。
任意密碼重置
修改密碼時使用其他人的手機號,可抓包更改成自己的手機號。自己手機收到驗證信息並輸入,可更改他人密碼成功。
跳過驗證
跳過驗證步驟、找回方式,直接到設置新密碼頁面
這裡直接用烏雲的例子說明應該就懂了。
中國電信某IDC機房信息安全管理系統設計缺陷致使系統淪陷
簡訊轟炸
簡訊轟炸,一般人可能抓包重放失敗後就放棄了。這裡有個技巧,
是從西門吹雪師傅博文裡學到的繞過的姿勢:
發送簡訊處一般每隔60秒才能發送一次
但若是發包時在手機號後加上一個空格、加號或換行符等特殊字符。然後重新發送,這時若發送成功,則說明可繞過限制。
此時在intruder模塊只要持續遞增空格就可造成無限簡訊轟炸
博文連結
越權越權訪問目錄
可越權訪問到後臺路徑,網站組件配置文件,備份文件等,當然掃目錄字典也要好。
修改身份標識
更改成功登陸的用戶的身份標識,可能就能越權訪問到其他用戶的頁面。
例如:1、本人之前曾用test用戶弱口令漏洞登陸成功,然後更改參數越權訪問到admin用戶;2、曾看過一漏洞:用戶認證的token值是用戶名加時間戳的md5值,而恰好數據包某處就有返回用戶名加時間戳,然後更改時間戳前的用戶名,md5後加在token上成功越權到其他用戶上(這種漏洞一般需要細心查找登陸時身份認證參數的規律)
之前的任意密碼重置等漏洞,其實也是修改用戶身份標識,系統認證機制不完善導致漏洞出現。
抓返回包
在登陸時返回包可能返回用戶敏感信息,此時改一改參數說不定還能越權查到其他用戶信息。
或註冊、找回密碼發送簡訊郵箱時,可能直接返回驗證碼等
在返回包裡,更改下參數為true、success、1,可能就能未授權進入後臺
登陸抓包,點擊右鍵,抓取返回包
觀察返回的參數
更改參數
成功進入後臺
禁用js
曾經碰到過一個站點,能未登陸訪問後臺首頁,但再次點擊就會退出到登陸頁面。此時禁用js,然後成功訪問部分功能模塊,成功利用文件上傳拿到webshell。
因為有些網站的Url跳轉是由前端js控制,這時禁用js後說不定就能成功訪問。
下面是火狐的一個禁用js的插件
0x08 看網站源碼信息
當你思路枯竭的時候不妨看看源碼,它是一塊寶藏,說不定就能在裡面發現驚喜。有些程式設計師會把後臺的功能連結放在前端源碼中,說不定就存在未授權訪問,甚至有些奇葩程式設計師在前端代碼存放測試的帳號密碼。
首先給大家推薦一款工具,很強大:JSFinder
連結:https://github.com/Threezh1/JSFinder
這是一款在網站的js文件中提取URL,子域名的工具,用在後臺登陸界面抓取一些敏感的js文件效果也很不錯,我曾用它抓取過網站後臺的一個插件源碼,後臺的功能連結,敏感信息,接口連結(存在xss,注入)等等。我同學還說過burp也有抓js的插件,但可惜我沒找到,用這款也差不多夠用了。
這裡講一下烏雲的一個案例,具體連結忘記了,就講一下思路:
洞主之前發現了一個漏洞,提交後,等過一段時間再去瞧下那個站,發現系統大變樣,連url的路徑都改了,已經修復了嗎?
但是當洞主右鍵查看原始碼時,發現還保留著之前舊系統的連結和代碼,有的只是注釋了而已,關鍵是漏洞竟然還沒修?!tql,這種開發建議直接祭天。
看js代碼,甚至一些圖片的連結,說不定就有一番意外的收穫。比如R3start大佬的一篇博文中講的就很精彩從JS信息洩露到Webshell
文章的思路是:
作者進行滲透時,在一個圖片連結中發現了一個三級子域名,刪掉URl、直接訪問根路徑發現了一個title是某管理平臺的頁面。
但頁面無法正常加載,故進行目錄掃描得到後臺地址和後臺js壓縮包,然後在源碼的某處JS代碼中發現了多個可登錄的帳號。
嘗試弱口令無果後,從js壓縮包查到了默認密碼規則。成功登陸一個普通用戶,但發現權限並不大。
然後通過js代碼尋找獲取到了別的接口地址,發現存在越權漏洞,通過JS接口越權訪問到活動管理頁面獲取到管理員的登陸帳號。
最後找上傳點,抓包改後綴拿shell一氣呵成。
引用R3start師傅的一句話:
右鍵查看JS源碼,你可能會發現… 被注釋的帳號密碼、接口、token、真實IP、開發環境…. 永遠不知道程式設計師在JS中給你留下了什麼樣的驚喜。
0x09 總結
上面的內容比較雜,篇幅也比較長,所以有些地方就沒有展開來講。有些地方可能講得比較簡略模糊,請大家見諒,如果有疑惑可以聯繫我。
順便說下感想:
這段時間的安服實習對我帶來很大的幫助,面對一些系統目標固定,不能橫向滲透。C段、埠掃描、子域名挖掘等信息收集都做不了,只能硬著頭皮懟目標。而做安全服務經常碰到的就是後臺登陸界面,懟著懟著就成長了,畢竟孰能生巧。
雖然滲透比較艱難,但也培養了我的漏洞挖掘能力。反思下自己以前挖漏洞,都是走馬觀花,面對信息收集來的一大堆資產,都是隨便測下就結束,並沒有深入且細心地去尋找漏洞,導致之前的SRC挖掘之旅十分困難。因此希望新手在挖洞時能夠更加細心,特別是挖掘SRC時,有時就得花時間一個參數一個參數去」懟」,才能有所收穫。要相信,大力出奇蹟!