搜索
    Hi~登录注册
    查看: 441|回复: 1
    收起左侧

    WEB渗透测试中登陆点的一些个人经验

    [复制链接]

    42

    主题

    0

    精华

    14 小时

    在线时间

    注册会员

    Rank: 2

    积分
    73
    发表于 2020-10-16 10:05:50 | 显示全部楼层 |阅读模式
    前言
          好吧,本人其实也才工作不久,研究的话只能研究这个登陆的漏洞了,本篇文章是工作以来遇到的一些经验,由于内容太多,而且比较简单,我就不截图了,当然不是因为我懒。
    1、登录失败连续5次锁定账号
          这个是当时页面提示报错登录失败连续5次会锁定账号,当时我刚进入这个行业还是个小萌新,不懂得爆破用户名的方式爆破弱口令,不过就是个逻辑的问题,我当时想到了只要不连续输错5次不就可以了。
          使用了burpsuite的攻击类型是Cluster bomb,然后开始选择payload的时候,对用户名的变量添加了admin和lida两个用户,在密码添加常用字典,开始了交叉爆破,这样就不会连续输错5次了,直接爆破出了admin管理员账号。
    2、登录验证码机制在输错2次之后才出现
           这个也是逻辑错误,当时和一个大佬一起参与的大型远程测试,他漏掉了这个漏洞。当时我打开页面的时候发现页面是没有验证码的,开始尝试弱口令,输错了两次之后验证码出现了,然后这个验证码还是失效的,这就没办法爆破了吗?我当时再进行测试的时候,重新打开该页面发现验证码还是没有出现,我就想到了一开始验证码还没出现的时候直接开始爆破,然后就绕过了验证码机制,这是逻辑性的问题。
    3、输错密码10次后页面锁定15分钟
           这个其实是没有对ip进行限制,我当时因为经常使用pkav工具,对这个工具里面的使用功能比较熟悉,当然还是因为这个工具比较容易上手,使用了ip伪造枚举了用户名,爆破出一堆存在弱口令的账号,这里就是个没有对ip限制的缘故。
    4、爆破过程中多次返回503状态码
           这个是当时在爆破的过程中,发现页面返回了一半的503状态码,有一半是200成功的,这让我感到有些棘手,因为那些状态码503的意味着我要选出来重试,然而当时我对这个pkav工具也研究了一段时间,立马想到了这个pkav里面的重试规则,就是匹配这个返回状态码503页面出现的"服务器错误"字符串,然后重试,这样就不需要手动添加重试了。
    5、验证码易识别的
           验证码一看就是背景清晰的,无干扰线的,容易识别,可以加入使用pkav进行自动识别爆破,当然爆破之前要先尝试识别看看正确率,虽然可以添加重试规则,不过也比较麻烦。对于pkav这个工具还是相当不错的,burpsuite的验证码识别插件我也用了几次感觉不怎么好用,不过pkav有点麻烦的就是线程不能开太大,5就行了,太大爆破程序不稳定会自动退出。工具连接https://www.freebuf.com/sectool/61313.html
    6、未验证用户名
           说实话这个漏洞其实是我无意中发现的,当时在爆破的时候对用户名字典输多了两个空,但是我在查看爆破结果的时候发现了这两个空用户名所返回的数据包里面body里面居然含有success,然后我意思到不对劲了,这不就是登陆成功的标治?所以我再一次抓包,去掉了用户名,发送了请求包,然后这个空用户名居然成功跳转到登录页面了,也就是说这个登陆页面只验证密码没验证用户名参数。说实话有一定的运气,但还是自己的多思考,善于发现,在我看来那些各种绕过的方式不也是别人一次次的试验出来的吗,那不也是靠细心才发现的。当然,我也要学会拓展,立马给我的字典加上一个空字符,万一下次再碰上忘记试这个点岂不是白思考了。
    7、api接口的username参数
            这个是当时开始有了一套自己的测试流程思路发现的,我对一个登陆页面进行抓包,然后发送到repeater模块里,然后发包。这样一个反复抓包发包可以让我清晰明了看到关键的数据包的请求包和返回包,这样就少错过了一些关键点。当时利用repeater模块查看一个登录点的错误和成功两种方式的响应包,发现居然这样success和false的区别,细心的发现这个可以有,我修改了返回包,然后跳转到了一个api接口,而这个api接口的body数据居然只出现了username=null这样的参数,然后我大胆的试了修改这个null值,任意登陆用户操作界面。后来我又尝试从这个登陆界面去抓这个api界面,发现当抓取登录界面的请求连接的时候,api接口的数据包也被抓到了,但是没有任何参数,所以这其实是程序员开发的时候只考虑了这个登陆界面的请求包数据了。从这以后,我想到了这个api接口应该需要更多的这种fuzzing参数去测试,当然之前我没考虑到这种常见的问题也是自己太菜了。
    8、口令猜解
           其实这个口令猜解,更多的是靠经验了。这里再提几点,首先我们完全不用靠这个脚本去生成什么字典组合,burpsuite里面intruder模块的payload type里面有个custom iterator,这个可以帮你组合字典,只需要自己组合一些常用的字典就好了。说实话,这个弱口令一直是HW里面最常见也最容易得分的点,我记得很清楚我第3次HW行动就摸清了得分规则重要性,快速拿了3个弱口令的后台,有120分了,一个后台有存储xss可以拿20分,一个后台还存在任意文件上传可以shell呢,分数不少了,而一个sql注入就在在50到100之间。所以找后台其实是快速得分的点,而且在省级的比赛中也是因为这个弱口令被拿分的有,毕竟网站太多,管理不过来也是正常的。
           当然,弱口令不是说就是常见的弱口令,其实能猜出来的都算口令。这个也是看社工的经验,从人性的角度,复杂的口令是大小写字母加特殊符号加数字,你要明白有些运维要记住几百台服务器的口令,他记不住这么多口令,所以这个口令也是有规律的。字母一般是这个域名、单位系统等名称缩写,特殊符号也是一般不会超过3个而且大多都是前5个,数字一般是3到4位,因为前面的已经占用很多了,你可以蒙个123或者年份都可以的。有经验的社工可以社工这个运维,了解这个运维的起名方式,比如公司名称、高管姓名、ip后缀等等,这个还是看你猜的程度了。当然这种其实是没什么技术性要求,主要是逻辑性思维的散发。
    后序
            本篇文章其实是一个针对登陆点概况性的总结,在我看来还是比较水的,不过主要是思路的分享吧,个人想法是求同存异,我看文章更喜欢的是思路而不是利用漏洞的方法,谢谢各位大佬观看。



    上一篇:KinhDown最新可用百度云破解版不限速媲美PanDownload
    下一篇:这个burpsuite怎么解决呀

    评分

    参与人数 1网币 +5 收起 理由
    菜鸟 + 5 前排膜拜

    查看全部评分

    回复

    使用道具 举报

    10

    主题

    0

    精华

    97 小时

    在线时间

    荣誉会员

    Rank: 8Rank: 8

    积分
    118
    发表于 2020-10-22 15:03:18 | 显示全部楼层
    感谢楼主的思路分享,对于一些同在入门琢磨的小菜鸡们来说帮助还是很大的
    回复 支持 反对

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表