用户
搜索
  • TA的每日心情
    开心
    2018-1-12 13:06
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    20

    主题

    85

    帖子

    509

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2017-12-28

    i春秋签约作者

    发表于 2018-7-9 20:08:02 116144
    本文为红发香克斯原创,如需转载请署明作者
    开篇

    渗透测试过程中,测试页面是很容易被上线系统遗漏的一个重要的点,测试页面也是渗透人员比较重视的一个因素,很可能通过测试页面打开渗透测试的突破口,一直也没遇到合适的案例,最近做渗透的时候刚巧碰到一个,写个文章做个总结吧!也是这个系统安全意识比较差,刚好遇到,不然还没有这篇文章,其实最近还有一个进后台的思路,到时候再开一篇文章。

    场景思路

    遇到一个登陆系统,没有测试的账号和密码,也没有注册页面,也是这次刚好,遇到个测试页面,打开了测试的大门,这次主要用到了爆破的技术,观察力和推理

    下面是步骤:

    首先攻克登录
    爆破登录的思路
    输入用户名admin,密码123456,这边插一句,一般的弱口令也是有区别的,比如123456和admin、password有啥区别呢?你肯定会说他们都是弱口令,一个是字母组成一个是数字组成,这没错,其实他们之间还有另一种差别,123456经常被普通人使用,admin和password普通人可能使用比较少,IT人员比如开发用的比较多,一个跳广场舞的大妈设置密码肯定会设123456而不是password,我输入admin和123456以后点击登录,服务器端返回“用户名或密码不正确”
    01.png
    虽然它返回很模糊的提示信息,其实还有一个撞库漏洞,它是可以撞库的,因为撞到正确的账号和不正确的返回结果肯定不一样,今天只讨论从测试页面进后台的,所以不用撞库的方式
    爆破登录的结果:没有得到账号和密码

    爆破备份和路径
    没有找到合法的账号和密码,于是我使用御剑对目标进行了暴力破解,因为找到备份文件或者敏感文件,会对测试很有利,老天不负有心人,我找到了一个说明文件,里面有俩键值对,很像用户名和密码,经过手工验证,并不能登录,没啥乱用

    02.png

    接下来怎么办,御剑只发现了这一个文件,于是我使用dirb对目标进行了扫描,发现一个test路径,访问一下发现是个测试页面,里面空空如也:

    03.png


    由测试页打开突破口
    上图测试页有个细节,就是红框中标注的那个向下的小箭头,点开以后有修改密码和退出俩按钮,于是想到如果我修改了密码成功岂不是可以登录进去系统吗?于是

    04.png

    激动人心的时刻即将到来,我输入了自己设置的密码和确认密码以后,满怀激动的心情就点击了保存按钮
    终于.......没有修改成功,于是乎测试好像进入了死胡同,怎么办?

    柳暗花明又一村
    修改密码没法登陆了,我准备看看能不能猜点东西,红发香克斯曾说过:"猜,也是一种渗透测试技术,瞎猜乱猜叫fuzz,有依据的猜叫技术"哈哈哈,我自己说的,开个玩笑。下面继续,可能有经验的从上图的修改密码页面就能看出一些端倪,它的路径是Account/EditPassword,这个路径很标准,就是英语单词的拼写
    于是我推测Account/EditPassword是修改密码,那么ListUsers是不是列出用户?那AddUser是不是添加用户?deleteUser是不是删除用户?那EditUser呢?
    于是我测试了一下AddUser,哇哇哇!哇哇哇!哇哇哇!哇哇哇!没成功哈哈哈

    05.png

    我们得到了系统服务的详细版本号,知道了系统报错页面是什么样子,我又测试了上面推断的其他页面,其中ListUsers成功了,这一步验证了我的推断!

    06.png


    回头我又试了一下AddUsers,成功打开页面,这系统开发的命名不规范啊!Listusers是复数形式,增加用户你为毛还用复数?这不是为难我们小黑客吗?差评

    07.png

    我得到了一个用户名和密码,大家可以看到选择角色里面,可以选择你添加的用户的角色的!我把所有的角色都勾选上了,添加了一个账号!并且成功登陆了!进入系统以后,我发现和想的不一样!因为它没有用户管理啥的!但不管怎么样,总算登进去了,测试几个SQL,真的测不起,每个页面打开需要半分钟!打算放弃了,但我还发现有点怪怪的!下面发一张登录的图:

    08.png

    终于找到问题了,这里面没有账号管理,因为账号管理在account文件夹下,而这个文件夹是XXXX而不是account,于是我需要找到相关功能

    发现用户编辑和删除功能
    通过前面的内容我们发现了用户列表页面和添加用户页面,那么用户编辑页面和用户删除页面根据前面规律,可能是EditUSer和DelUser,这个很有可能!我们用Edituser页面进行测试!页面如下:

    09.png

    发现并没有用户编辑页面!那么用户编辑页面在哪呢?按理说这就应该是用户编辑页面啊,我们用editusers测试,发现还是报错哈哈哈!不卖关子了!你仔细看看上面图上的报错信息,它的错误页面和这篇文章的第四张图的报错页面是不一样的!我们再观察观察,这边提示System.Int32的参数UserId参数字典包含一null,也就是说这个就是用户编辑页面,只是缺少了一个userID的参数!也就是说如果是URI正确的话,系统返回的错误和一般的错误是有差异的!用这种方式我们推测出了删除用户页面!这样我们就拥有了用户的增删改查!
    ------------------------------------------------------------------------------------------------------------华丽的分割线
    文章结束,谢谢观看






    想看你另外一个思路
    使用道具 举报 回复
    LION1024 发表于 2018-7-9 22:44
    想看你另外一个思路

    另外一个是验证码无法绕过的情况下进后台的,也是最近遇到的一个案例,这两天发出来
    使用道具 举报 回复
    红发香克斯 发表于 2018-7-9 22:54
    另外一个是验证码无法绕过的情况下进后台的,也是最近遇到的一个案例,这两天发出来 ...

    期待.....
    使用道具 举报 回复
    一个字:骚
    使用道具 举报 回复
    优秀,期待大佬下一篇文章。
    使用道具 举报 回复

    渗透测试必须依靠推理的,下篇文章多介绍点技巧
    使用道具 举报 回复
    mcjaron 发表于 2018-7-10 16:37
    优秀,期待大佬下一篇文章。

    谢谢支持
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 3 天前
    就没了??     猜地址我也用过呀
    逆向/破解/病毒分析板块  专属QQ交流群:496266893  群二维码

    https://bbs.ichunqiu.com/forum-60-1.html
    使用道具 举报 回复
    XiaoYue97 发表于 2018-7-14 16:21
    就没了??     猜地址我也用过呀

    没了,只是刚好遇到个好案例,记录成一篇文章
    使用道具 举报 回复
    细心,学习了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册