登錄框是一個典型的Web應用程序的組件���,允許用戶輸入憑據(jù)以進行身份驗證,通過檢查登錄框的安全性����,識別應用程序中的安全漏洞和弱點。在進行登錄框的滲透測試時���,需要綜合使用多種方法和工具,以確保測試的全面性和準確性,及時發(fā)現(xiàn)并修復應用程序中的漏洞���,提高應用程序的安全性和可靠性。在HVV或滲透測試時遇到站點只有一個登錄接口的情況下,如何獲取權限并進一步滲透?下面根據(jù)本人實戰(zhàn)經(jīng)驗��,分享常用的網(wǎng)站登錄框滲透攻防方法:
一���、攻擊方式
1�����、登錄框的輸入驗證漏洞
登錄輸入框中的用戶名和密碼可能存在輸入驗證機制有效性安全漏洞���,通過登錄頁面的源代碼查看到客戶端驗證邏輯�����,若存在繞過漏洞,嘗試輸入包含特殊字符或注入代碼的數(shù)據(jù),以在進行滲透測試時,還需要對登錄框進行敏感信息泄露測試�。在登錄框中��,往往需要輸入用戶名和密碼,因此我們可以通過嘗試使用一些常見的用戶名和密碼來測試是否存在默認憑證��。如果存在默認憑證�����,就可以使用這些默認憑證進行未經(jīng)授權的訪問。此外�,還可以嘗試使用一些常見的SQL注入�、XSS(跨站腳本攻擊)等方式來檢測是否存在安全漏洞��。
2��、密碼猜測和弱口令攻擊
密碼猜測和弱口令攻擊是利用弱密碼對登錄框進行攻擊,這時候最常用的方法就是暴力破解和猜解登錄口令��。在滲透測試中����,我們可以使用常見的密碼字典進行密碼猜測,并觀察是否存在弱口令����。若登錄窗口對密碼的復雜性缺少驗證機制����,則導致無法抵御基于密碼猜測的攻擊����,可以嘗試使用弱密碼來登錄系統(tǒng),通過密碼猜測手段����,嘗試使用常見的用戶名和密碼進行測試�����,例如“admin”和“password”等�。如果密碼以明文形式存儲在數(shù)據(jù)庫中,則可以進一步通過入侵數(shù)據(jù)庫來獲取密碼,如通過構造惡意的SQL語句來繞過登錄認證、獲取管理員權限、獲取數(shù)據(jù)庫中的敏感信息等�。
3�、未正確配置安全協(xié)議
如果Web應用程序未正確配置安全協(xié)議(例如HTTPS)���,可以利用中間人攻擊或會話劫持技術來獲取憑據(jù)或篡改數(shù)據(jù)���。同時對于存在會話固定漏洞的系統(tǒng)����,通過使用CSRF、會話劫持等攻擊手段來獲取已驗證的會話�,這些漏洞可以在不知道密碼的情況下訪問受保護的重要數(shù)據(jù)����。
4、社會工程學攻擊
此外還可以通過社會工程學的方法對登錄框進行測試��。例如釣魚攻擊��、密碼猜測����、弱口令攻擊等�。釣魚攻擊是指利用虛假的登錄頁面欺騙用戶輸入用戶名和密碼,從而獲取用戶的登錄憑證�����。在釣魚攻擊中����,攻擊者可以通過偽造的登錄頁面欺騙用戶輸入賬號密碼。為了防止釣魚攻擊���,用戶可以注意登錄頁面的URL和SSL證書���,避免輸入敏感信息����。在滲透測試中,可以嘗試使用偽造的登錄頁面對用戶進行測試,觀察用戶是否會受到欺騙����。
二���、測試工具
在進行滲透攻防時�,我們還可以嘗試使用一些工具來輔助測試����。
1、Burp Suite
Burp Suite是一款強大、實用的Web應用程序滲透測試工具�����,包含了代理���、掃描���、爬蟲�����、攔截器等多種模塊��,可以幫助我們檢測并利用網(wǎng)站的漏洞,可以用于攔截和修改HTTP請求和響應�����。使用Burp Suite可以快速識別應用程序的漏洞�����,例如未經(jīng)身份驗證的訪問、會話劫持��、跨站點腳本等�。
2、Sqlmap
Sqlmap是一款自動化SQL注入工具�����,可以幫助我們快速地檢測出網(wǎng)站是否存在SQL注入漏洞�,并且自動化地進行利用。
3���、Nmap
Nmap(Network Mapper),諸神之眼����,掃描之王�����,主機掃描工具�,網(wǎng)絡掃描和嗅探工具包��,圖形化界面是zenmap��,分布式框架為Dnamp,最早是Linux下的網(wǎng)絡掃描和嗅探工具包�。
4����、Dirsearch
Dirsearch是一個python開發(fā)的目錄掃描工具���,目的是掃描網(wǎng)站的敏感文件和目錄從而找到突破口�����。
5、XSStrike
XSStrike是一款自動化XSS測試工具����,可以快速地檢測出網(wǎng)站是否存在XSS漏洞���,并且自動化地進行利用�����。
6、Hydra
Hydra是一款密碼破解工具�,可以幫助我們快速地破解管理員的密碼���。
三���、實戰(zhàn)演練
通過使用上述工具進行測試時��,需要注意的是漏洞掃描器也存在誤報和漏報的情況,因此掃描結果應該進行進一步的驗證和分析�����。在對登錄框進行漏洞掃描時��,可以先手動構造一些常見的攻擊載荷進行測試���,例如SQL注入攻擊載荷�、XSS攻擊載荷等�����,看看是否存在漏洞。同時還可以結合Burp Suite等工具進行數(shù)據(jù)包攔截和修改,觀察是否存在安全漏洞。如果存在安全漏洞����,需要及時修復并進行重新測試��。
1、SQL注入
如果網(wǎng)站存在SQL注入漏洞,可以嘗試萬能密碼��,常見的萬能密碼有:‘or’=‘or’ ‘or 1=1/* admin’ or 1=1/*����。同時可以借助Sqlmap工具,會自動化地進行利用,獲取敏感信息??梢允褂胹qlmap進行SQL注入檢測:sqlmap -u "http://example.com/login.php" --data "username=admin&password=1234" --method POST --level 5 --risk 3�。其中���,-u指定需要測試的URL�,–data指定POST請求的數(shù)據(jù),–level指定測試等級(1-5),–risk指定風險等級(1-3)�。
2��、XSS攻擊
如果網(wǎng)站存在XSS漏洞,XSStrike會自動化地進行利用,彈出彈窗等����。使用XSStrike進行XSS測試�,命令如下:python3 XSStrike.py -u "http://example.com/login.php" --data "username=<script>alert(1)</script>&password=1234" --method POST
其中,-u指定需要測試的URL�,–data指定POST請求的數(shù)據(jù)�����,–method指定請求方法(GET或POST)。
3����、CSRF攻擊
在滲透測試與攻防實戰(zhàn)過程中,我們還需要進行常規(guī)漏洞掃描,例如使用漏洞掃描器對登錄框進行掃描�。常見的漏洞掃描器有OpenVAS��、Nessus、Burp Suite等。這些掃描器能夠自動化檢測Web應用程序中的漏洞,例如SQL注入��、跨站點腳本(XSS)和文件包含等漏洞���。
驗證碼字段刪除或置空;
萬能驗證碼:滲透測試的過程中,有時候會出現(xiàn)這種情況�����,系統(tǒng)存在一個萬能驗證碼���,如0000�����、1111����、8888�、9999,只要輸入萬能驗證碼,就可以無視驗證碼進行暴力解析。等等;
抓包重放:Burp抓包但不放包�,將包發(fā)送到Repeater重放幾次看看驗證碼能不能重復使用���,大多數(shù)時候burp不用一直抓包也是可以繞過的��;
抓包獲取:圖形驗證碼可被識別,抓包直接可以獲得驗證碼����,很多網(wǎng)站的驗證碼都可以在請求數(shù)據(jù)包中找到,或者隱藏在request的cookie中��,Response的源碼中��,可以利用Burpsuite的macros來匹配Response中的相應數(shù)據(jù)����。
修改響應碼:Burp攔截登錄的響應包進行修改��,將響應碼修改后可能會越權登錄被測系統(tǒng)�����。(只要是權限驗證不是使用cookie來驗證,都有可能發(fā)生橫向越權漏洞���;同時只要是用戶id、用戶名等是以參數(shù)方式傳遞�����,就有可能有風險)����。
圖形驗證碼參數(shù)直接繞過:對于request數(shù)據(jù):user=admin&pass=1234&vcode=brln,通過驗證碼空值繞過����,改成user=admin&pass=1234&vcode=���;或直接刪除驗證碼參數(shù)���,改成 user=admin&pass=1234�����。
驗證碼可被識別:有些圖形驗證碼加入的像素線條過于簡單,使用圖形驗證碼識別工具可以識別出每次更換的驗證碼���,在平常的漏洞挖掘過程中,若發(fā)現(xiàn)登錄的驗證碼非常簡單且易于識別�,就可以嘗試使用自動化工具來進行登錄解析了���,如 PKAV 的 HTTP Fuzzer����。
使用機器學習算法識別驗證碼:通過對特定網(wǎng)站的圖形驗證碼訓練識別模型����,達到一定的準確率就可以調(diào)用進行模擬提交圖形驗證碼的值了。
對于網(wǎng)站登錄系統(tǒng)頁面要求輸入手機號�,接收手機短信并校驗短信驗證碼是否正確進行登錄的系統(tǒng),突破的主要思路有:
暴力破解:短信驗證碼生命期限內(nèi)可暴力枚舉����,可以嘗試暴力破解短信驗證碼�,達到登錄��、注冊或找回密碼等目的�����,在驗證碼還未過期的時間段內(nèi),可枚舉全部的純四位數(shù)字����、六位數(shù)字等較簡單的短信驗證碼。
短信驗證碼在數(shù)據(jù)包中返回:和圖形驗證碼一樣,在response中可以直接獲取到短信驗證碼���。
修改請求數(shù)據(jù)包參數(shù)或Cookie值繞過:比如有post數(shù)據(jù)包:mobile=12435437658&userid=123456, Cookie中有:codetype=1。在特定步驟,修改 mobile=自己的手機號,自己手機就可以收到別人的驗證碼,后面再用別人的手機號和接收到的驗證碼登錄;修改 Cookie 中可疑的參數(shù)和值,進行繞過����,比如上面修改 codetype=0�����;
修改返回包繞過:提交錯誤的短信驗證碼,返回包中有:status=false,在Burpsuite中修改為 status=true����,即可繞過前端判斷�,成功進入系統(tǒng)�����。具體還要結合實際的場景����,靈活操作����。
6、目錄掃描
推薦使用dirsearch,可能會發(fā)現(xiàn)網(wǎng)站備份文件、后臺地址等等�����。通過掃描系統(tǒng)目錄�,目錄遍歷,google hacking找到未授權訪問的登陸頁面,直接進入到系統(tǒng)內(nèi)部。
此功能點可能存在的漏洞有任意用戶密碼重置�、短信/郵件轟炸�、驗證碼爆破、驗證碼繞過�、驗證碼回顯�、sql注入����,邏輯漏洞較多�。
利用任意用戶注冊漏洞等。
Struts2漏洞��、cms漏洞�、log4j����、中間件漏洞……Shiro/log4j/fastjson 反序列化:這三個反序列化漏洞影響實在是太廣了。
Nmap全端口掃描:nmap -sS -A -p 1-65535 ip����,掃到ssh���、ftp���、telnet�����、數(shù)據(jù)庫等等端口可以嘗試進一步利用
F12找一下JS文件���,重點查看js中的測試賬號、API接口���。
任意密碼重置�,任意賬號注冊�,短信(郵件)轟炸等。
- 任意密碼重置:一般存在于先驗證身份���,重置密碼(修改密碼)的系統(tǒng);或驗證碼與手機號不綁定的系統(tǒng)�����;
- 任意賬戶注冊:漏洞原理基本與任意密碼重置相同���,驗證碼未與手機號綁定或驗證碼可爆破���;
- 短信(郵箱)轟炸:未對發(fā)送間隔,一段時間內(nèi)發(fā)送最大數(shù)量做服務端驗證,抓包后不斷重返即可(在repeate中),若做了一定防護可添加空格``+86等進行繞過����;
- 通過Burp抓取數(shù)據(jù)包,修改Respos返回信息�、更改URL中的id參數(shù)���、更改用戶名密碼字段(比如直接刪去密碼字段)�����、更改Cookie字段,可以越權登錄到系統(tǒng)內(nèi)部����。
13���、暴力破解
大部分情況下���,系統(tǒng)登錄頁面都不存在xss,目錄遍歷,SQL注入等漏洞,這時候最常用的方法就是暴破和猜解登錄口令����,密碼猜解最關鍵的就是字典要高效準確����。
在應用層http/https爆破密碼的常用工具是Burp Suite�����;
準確的用戶名���,密碼字典是高效破解的重中之重�,一般都是指定幾個常見用戶名,嘗試 Top500����、Top1000進行爆破 字典不必要太大����,最重要的是針對性要強�;
系統(tǒng)管理員爆破:因為管理員權限較高,通常我都會先進行管理員口令的猜解����,總結一些常見的管理員用戶名字典���,用此用戶名字典���,再加上弱口令Top1000�����,同時爆破系統(tǒng)管理員用戶名密碼��。
普通用戶爆破:常見的普通用戶用戶名是姓名拼音��,總結普通用戶字典:Top3000姓名、Top10w姓名。通常可以選擇幾個弱口令密碼��,比如:123456���,123abc��,111111���,然后配合top10w來猜解登陸口令�����,一些初始化的默認密碼也很簡單,如果能找到配合top10w通常也能爆出登錄口令。
如果還是不能猜解成功,就要根據(jù)目標信息用字典生成器構造針對性的字典來猜解了��,推薦幾個比較好的字典生成工具:Crunch�、Pydictor、Cewl、Cupp��。
四���、防護措施與建議
如果系統(tǒng)存在弱口令,需要管理員及時修改密碼策略和強制密碼復雜度��,采用字母��、數(shù)字和符號的組合����,長度要達到一定的要求�����,使用更強的密碼來保護賬戶,從而增強系統(tǒng)的安全性�����。
對網(wǎng)站數(shù)據(jù)進行加密���,可以有效提高頁面的安全性�,應當采用成熟的可靠的加密技術和方案。
系統(tǒng)在登錄時未能正確地管理會話,建議實現(xiàn)適當?shù)臅捁芾泶胧?���,如定期更換會話令牌����。
網(wǎng)站使用的SQL查詢未能正確地過濾用戶提供的輸入���,建議實現(xiàn)適當?shù)妮斎腧炞C和過濾來防止SQL注入攻擊���。
系統(tǒng)在某些情況下未能正確地驗證來自外部站點的請求,建議實現(xiàn)適當?shù)腃SRF保護措施�����。
6����、做好備份和數(shù)據(jù)恢復工作
在頁面的運行過程中,應定期備份數(shù)據(jù)���,以避免頁面數(shù)據(jù)的丟失。在數(shù)據(jù)丟失時��,還應有相應的數(shù)據(jù)恢復方案��。
7���、進行網(wǎng)站安全監(jiān)控
定期進行網(wǎng)站安全檢查���,在發(fā)現(xiàn)問題時����,及時進行處理�,以避免安全問題的擴散。
五���、總結
總的來說,對登錄框進行滲透測試需要綜合考慮多種攻擊方法和漏洞類型�,并對掃描結果進行進一步的驗證和分析���。同時需要及時修復發(fā)現(xiàn)的漏洞和弱點。
測試目標確定后,需要了解目標網(wǎng)站的架構和技術,例如服務器的操作系統(tǒng)和版本��、Web服務器的類型和版本�、數(shù)據(jù)庫的類型和版本等。這些信息有助于測試人員選擇合適的測試方法和工具,從而更有效地進行測試���。
測試策略包括黑盒測試和白盒測試。黑盒測試是指沒有任何關于目標系統(tǒng)的內(nèi)部結構和工作原理的信息,測試人員只能通過對外部界面的測試來判斷系統(tǒng)是否存在安全漏洞����。白盒測試是指測試人員具有關于目標系統(tǒng)的內(nèi)部結構和工作原理的信息����,可以通過代碼審計等方法來發(fā)現(xiàn)系統(tǒng)中的漏洞���。
該文章在 2023/10/30 10:57:21 編輯過
400 186 1886
