戟星安全实验室

弱口令

一般爆破方式为确定一个账号爆破密码或确定一个密码爆破账号，如果两个都不能确认，那可能就比较耗费时间了。这里推荐字典库：

https://github.com/TheKingOfDuck/fuzzDicts

也可以将自己遇到的一些密码统计到自己的密码本方便爆破。

SQL注入、万能密码

该站点正常的首页并没有左下角的系统诊断信息输出，通过路径扫描后得到2.php，在该页面中，能清楚的看到数据库报错回显：

直接sqlmap跑数据包中的username字段：成功跑出数据库信息：

万能密码

万能密码的本质，还是通过SQL注入注释掉后边的内容从而绕过登录。

如果sql注入没有拿下网站可以通过万能密码进入后台寻找其他上传点。

admin' or '1'='1'--admin' OR 4=4/*"or "a"="a' or''='' or 1=1--

明文传输

顾名思义，这可能是我们做渗透测试中，最常见的一种漏洞，实际上它并不能算得上是一种漏洞，仅仅只能说是一种不足之处而已，明文传输在网站上随处可见，除了银行网站，很有可能每一个密码都是经过特殊加密然后再进行传输的。

即数据包中可直接看到明文信息：

用户名枚举

此漏洞存在主要是因为页面对所输入的账号密码进行的判断所回显的数据不一样，我们可以通过这点来进行用户名的枚举，然后通过枚举后的账户名来进行弱口令的爆破。

例如:当用户名错误时提示"用户不存在"

用户名正确但是密码错误提示："用户名与密码不一致"

短信/邮箱轰炸

对于验证码发送次数没有做限制，导致造成短时间内短信重发，使用 burp 抓取获取验证码的包放到 repeater 不断重放，更暴力点可以使用 intruder。

若做了时间限制，还可以尝试使用BP的并发插件Turbo Intruder实现短信（邮箱）轰炸。还可以采用除修改cookie或者返回值重放数据包、手机号后面加空格(%20)或者前面加其他的比如+86、逗号、分号、字母、修改IP等方式绕过短信轰炸限制

短信验证码回显

通过抓包的方式，可以从返回包中直接看到验证码；或者通过查看网页源代码可以看到验证码中的内容，导致攻击者可直接利用验证码。

验证码可爆破

短信验证码一般由4位或6位数字组成，若服务端未对验证时间、次数进行限制，则存在被爆破的可能。

输入手机号获取验证码，输入任意短信验证码，发起请求，抓包，将短信验证码字段设置成payloads取值范围为0000-9999进行暴力破解，根据返回响应包长度判断是否爆破成功。

一般情况下爆破4位数验证码0000-9999 才1万个数组

万能验证码

程序员在开发验证码模块时，为了方便调用验证码验证功能是否完善，故意设置了几个万能的验证码作为测试数据。在开发结束后由于程序员的疏忽，没有删除该测试验证码数据从而导致该漏洞的产生。通常为00000/123456/1234 等等

删除验证码绕过

通过抓包将验证码的值删除、置null或者直接删除验证码参数，然后将修改后的数据包进行重放导致验证码验证被绕过。

验证码与手机号未统一匹配

使用攻击者手机接收短信，在点击注册时拦截包将手机号改为其他手机号，如果成功的话就注册了别人的手机号，这是因为后端仅验证了验证码是否是正确的而没有验证验证码是否与手机匹配。

任意用户密码重置

通常发生在忘记密码处，由于系统没有严格匹配用户忘记密码时的验证方式，可以采用抓包修改用户参数，导致任意用户的密码都能够被重置。

比如某个忘记密码功能处采用手机号短信验证的方式来重置用户密码，如果该验证手机号没有对用户账户进行绑定，那么就可以通过输入任意手机号接收短信验证，然后就可以利用该验证码重置用户密码了。

CMS漏洞

确认站点的CMS框架等信息后在网上找找此公司产品是否爆出过漏洞，可在网上公开搜索payload。若是开源的框架，还可下载源码进行代码审计寻找漏洞，例如Shiro反系列化、ThinkPHP等漏洞。

如下所示，该站点为若依/RuoYi搭建的站点：

直接网上搜索若依的公开漏洞，使用Payload可复现任意文件下载：

http://www.XXX.com/common/download/resource?resource=/profile/../../../../etc/passwd

往期回顾

戟星安全实验室

# 长按二维码 || 点击下方名片 关注我们 #