登錄框是一個(gè)典型的Web應(yīng)用程序的組件,允許用戶輸入憑據(jù)以進(jìn)行身份驗(yàn)證,通過檢查登錄框的安全性����,識(shí)別應(yīng)用程序中的安全漏洞和弱點(diǎn)。在進(jìn)行登錄框的滲透測試時(shí)�,需要綜合使用多種方法和工具,以確保測試的全面性和準(zhǔn)確性���,及時(shí)發(fā)現(xiàn)并修復(fù)應(yīng)用程序中的漏洞����,提高應(yīng)用程序的安全性和可靠性���。在HVV或滲透測試時(shí)遇到站點(diǎn)只有一個(gè)登錄接口的情況下��,如何獲取權(quán)限并進(jìn)一步滲透��?下面根據(jù)本人實(shí)戰(zhàn)經(jīng)驗(yàn)�,分享常用的網(wǎng)站登錄框滲透攻防方法:
一�����、攻擊方式
1�、登錄框的輸入驗(yàn)證漏洞
登錄輸入框中的用戶名和密碼可能存在輸入驗(yàn)證機(jī)制有效性安全漏洞,通過登錄頁面的源代碼查看到客戶端驗(yàn)證邏輯����,若存在繞過漏洞,嘗試輸入包含特殊字符或注入代碼的數(shù)據(jù)����,以在進(jìn)行滲透測試時(shí),還需要對登錄框進(jìn)行敏感信息泄露測試��。在登錄框中�,往往需要輸入用戶名和密碼,因此我們可以通過嘗試使用一些常見的用戶名和密碼來測試是否存在默認(rèn)憑證���。如果存在默認(rèn)憑證�����,就可以使用這些默認(rèn)憑證進(jìn)行未經(jīng)授權(quán)的訪問����。此外��,還可以嘗試使用一些常見的SQL注入����、XSS(跨站腳本攻擊)等方式來檢測是否存在安全漏洞����。
2����、密碼猜測和弱口令攻擊
密碼猜測和弱口令攻擊是利用弱密碼對登錄框進(jìn)行攻擊,這時(shí)候最常用的方法就是暴力破解和猜解登錄口令�����。在滲透測試中����,我們可以使用常見的密碼字典進(jìn)行密碼猜測,并觀察是否存在弱口令�。若登錄窗口對密碼的復(fù)雜性缺少驗(yàn)證機(jī)制,則導(dǎo)致無法抵御基于密碼猜測的攻擊�,可以嘗試使用弱密碼來登錄系統(tǒng),通過密碼猜測手段�,嘗試使用常見的用戶名和密碼進(jìn)行測試,例如“admin”和“password”等��。如果密碼以明文形式存儲(chǔ)在數(shù)據(jù)庫中�,則可以進(jìn)一步通過入侵?jǐn)?shù)據(jù)庫來獲取密碼����,如通過構(gòu)造惡意的SQL語句來繞過登錄認(rèn)證�����、獲取管理員權(quán)限����、獲取數(shù)據(jù)庫中的敏感信息等��。
3�、未正確配置安全協(xié)議
如果Web應(yīng)用程序未正確配置安全協(xié)議(例如HTTPS),可以利用中間人攻擊或會(huì)話劫持技術(shù)來獲取憑據(jù)或篡改數(shù)據(jù)��。同時(shí)對于存在會(huì)話固定漏洞的系統(tǒng)�����,通過使用CSRF�、會(huì)話劫持等攻擊手段來獲取已驗(yàn)證的會(huì)話,這些漏洞可以在不知道密碼的情況下訪問受保護(hù)的重要數(shù)據(jù)��。
4�����、社會(huì)工程學(xué)攻擊
此外還可以通過社會(huì)工程學(xué)的方法對登錄框進(jìn)行測試。例如釣魚攻擊�、密碼猜測、弱口令攻擊等����。釣魚攻擊是指利用虛假的登錄頁面欺騙用戶輸入用戶名和密碼,從而獲取用戶的登錄憑證���。在釣魚攻擊中���,攻擊者可以通過偽造的登錄頁面欺騙用戶輸入賬號(hào)密碼。為了防止釣魚攻擊��,用戶可以注意登錄頁面的URL和SSL證書���,避免輸入敏感信息�����。在滲透測試中��,可以嘗試使用偽造的登錄頁面對用戶進(jìn)行測試�,觀察用戶是否會(huì)受到欺騙。
二��、測試工具
在進(jìn)行滲透攻防時(shí)����,我們還可以嘗試使用一些工具來輔助測試����。
1、Burp Suite
Burp Suite是一款強(qiáng)大����、實(shí)用的Web應(yīng)用程序滲透測試工具,包含了代理����、掃描、爬蟲��、攔截器等多種模塊����,可以幫助我們檢測并利用網(wǎng)站的漏洞,可以用于攔截和修改HTTP請求和響應(yīng)��。使用Burp Suite可以快速識(shí)別應(yīng)用程序的漏洞,例如未經(jīng)身份驗(yàn)證的訪問�����、會(huì)話劫持�����、跨站點(diǎn)腳本等��。
2����、Sqlmap
Sqlmap是一款自動(dòng)化SQL注入工具,可以幫助我們快速地檢測出網(wǎng)站是否存在SQL注入漏洞�����,并且自動(dòng)化地進(jìn)行利用���。
3�、Nmap
Nmap(Network Mapper)����,諸神之眼���,掃描之王,主機(jī)掃描工具�����,網(wǎng)絡(luò)掃描和嗅探工具包�,圖形化界面是zenmap,分布式框架為Dnamp�,最早是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包��。
4�、Dirsearch
Dirsearch是一個(gè)python開發(fā)的目錄掃描工具,目的是掃描網(wǎng)站的敏感文件和目錄從而找到突破口�。
5、XSStrike
XSStrike是一款自動(dòng)化XSS測試工具����,可以快速地檢測出網(wǎng)站是否存在XSS漏洞,并且自動(dòng)化地進(jìn)行利用�����。
6�����、Hydra
Hydra是一款密碼破解工具,可以幫助我們快速地破解管理員的密碼��。
三��、實(shí)戰(zhàn)演練
通過使用上述工具進(jìn)行測試時(shí)�,需要注意的是漏洞掃描器也存在誤報(bào)和漏報(bào)的情況,因此掃描結(jié)果應(yīng)該進(jìn)行進(jìn)一步的驗(yàn)證和分析�����。在對登錄框進(jìn)行漏洞掃描時(shí)�����,可以先手動(dòng)構(gòu)造一些常見的攻擊載荷進(jìn)行測試,例如SQL注入攻擊載荷、XSS攻擊載荷等�����,看看是否存在漏洞。同時(shí)還可以結(jié)合Burp Suite等工具進(jìn)行數(shù)據(jù)包攔截和修改���,觀察是否存在安全漏洞���。如果存在安全漏洞��,需要及時(shí)修復(fù)并進(jìn)行重新測試����。
1�、SQL注入
如果網(wǎng)站存在SQL注入漏洞,可以嘗試萬能密碼��,常見的萬能密碼有:‘or’=‘or’ ‘or 1=1/* admin’ or 1=1/*����。同時(shí)可以借助Sqlmap工具�����,會(huì)自動(dòng)化地進(jìn)行利用���,獲取敏感信息���。可以使用sqlmap進(jìn)行SQL注入檢測:sqlmap -u "http://example.com/login.php" --data "username=admin&password=1234" --method POST --level 5 --risk 3。其中�,-u指定需要測試的URL,–data指定POST請求的數(shù)據(jù)����,–level指定測試等級(jí)(1-5),–risk指定風(fēng)險(xiǎn)等級(jí)(1-3)�。
2、XSS攻擊
如果網(wǎng)站存在XSS漏洞�,XSStrike會(huì)自動(dòng)化地進(jìn)行利用,彈出彈窗等����。使用XSStrike進(jìn)行XSS測試,命令如下:python3 XSStrike.py -u "http://example.com/login.php" --data "username=<script>alert(1)</script>&password=1234" --method POST
其中�����,-u指定需要測試的URL�,–data指定POST請求的數(shù)據(jù),–method指定請求方法(GET或POST)�����。
3���、CSRF攻擊
在滲透測試與攻防實(shí)戰(zhàn)過程中��,我們還需要進(jìn)行常規(guī)漏洞掃描��,例如使用漏洞掃描器對登錄框進(jìn)行掃描����。常見的漏洞掃描器有OpenVAS、Nessus�����、Burp Suite等�����。這些掃描器能夠自動(dòng)化檢測Web應(yīng)用程序中的漏洞���,例如SQL注入、跨站點(diǎn)腳本(XSS)和文件包含等漏洞�����。
驗(yàn)證碼字段刪除或置空�;
萬能驗(yàn)證碼:滲透測試的過程中,有時(shí)候會(huì)出現(xiàn)這種情況���,系統(tǒng)存在一個(gè)萬能驗(yàn)證碼���,如0000、1111��、8888���、9999����,只要輸入萬能驗(yàn)證碼�����,就可以無視驗(yàn)證碼進(jìn)行暴力解析����。等等;
抓包重放:Burp抓包但不放包�,將包發(fā)送到Repeater重放幾次看看驗(yàn)證碼能不能重復(fù)使用���,大多數(shù)時(shí)候burp不用一直抓包也是可以繞過的;
抓包獲?����。簣D形驗(yàn)證碼可被識(shí)別����,抓包直接可以獲得驗(yàn)證碼,很多網(wǎng)站的驗(yàn)證碼都可以在請求數(shù)據(jù)包中找到�����,或者隱藏在request的cookie中����,Response的源碼中,可以利用Burpsuite的macros來匹配Response中的相應(yīng)數(shù)據(jù)��。
修改響應(yīng)碼:Burp攔截登錄的響應(yīng)包進(jìn)行修改�,將響應(yīng)碼修改后可能會(huì)越權(quán)登錄被測系統(tǒng)。(只要是權(quán)限驗(yàn)證不是使用cookie來驗(yàn)證�����,都有可能發(fā)生橫向越權(quán)漏洞��;同時(shí)只要是用戶id��、用戶名等是以參數(shù)方式傳遞���,就有可能有風(fēng)險(xiǎn))����。
圖形驗(yàn)證碼參數(shù)直接繞過:對于request數(shù)據(jù):user=admin&pass=1234&vcode=brln�,通過驗(yàn)證碼空值繞過,改成user=admin&pass=1234&vcode=����;或直接刪除驗(yàn)證碼參數(shù),改成 user=admin&pass=1234��。
驗(yàn)證碼可被識(shí)別:有些圖形驗(yàn)證碼加入的像素線條過于簡單��,使用圖形驗(yàn)證碼識(shí)別工具可以識(shí)別出每次更換的驗(yàn)證碼�,在平常的漏洞挖掘過程中,若發(fā)現(xiàn)登錄的驗(yàn)證碼非常簡單且易于識(shí)別�,就可以嘗試使用自動(dòng)化工具來進(jìn)行登錄解析了,如 PKAV 的 HTTP Fuzzer�����。
使用機(jī)器學(xué)習(xí)算法識(shí)別驗(yàn)證碼:通過對特定網(wǎng)站的圖形驗(yàn)證碼訓(xùn)練識(shí)別模型,達(dá)到一定的準(zhǔn)確率就可以調(diào)用進(jìn)行模擬提交圖形驗(yàn)證碼的值了�。
對于網(wǎng)站登錄系統(tǒng)頁面要求輸入手機(jī)號(hào)���,接收手機(jī)短信并校驗(yàn)短信驗(yàn)證碼是否正確進(jìn)行登錄的系統(tǒng)�����,突破的主要思路有:
暴力破解:短信驗(yàn)證碼生命期限內(nèi)可暴力枚舉���,可以嘗試暴力破解短信驗(yàn)證碼,達(dá)到登錄�����、注冊或找回密碼等目的���,在驗(yàn)證碼還未過期的時(shí)間段內(nèi)���,可枚舉全部的純四位數(shù)字、六位數(shù)字等較簡單的短信驗(yàn)證碼。
短信驗(yàn)證碼在數(shù)據(jù)包中返回:和圖形驗(yàn)證碼一樣����,在response中可以直接獲取到短信驗(yàn)證碼����。
修改請求數(shù)據(jù)包參數(shù)或Cookie值繞過:比如有post數(shù)據(jù)包:mobile=12435437658&userid=123456, Cookie中有:codetype=1。在特定步驟�,修改 mobile=自己的手機(jī)號(hào),自己手機(jī)就可以收到別人的驗(yàn)證碼����,后面再用別人的手機(jī)號(hào)和接收到的驗(yàn)證碼登錄;修改 Cookie 中可疑的參數(shù)和值�,進(jìn)行繞過,比如上面修改 codetype=0�����;
修改返回包繞過:提交錯(cuò)誤的短信驗(yàn)證碼�,返回包中有:status=false,在Burpsuite中修改為 status=true��,即可繞過前端判斷�����,成功進(jìn)入系統(tǒng)。具體還要結(jié)合實(shí)際的場景�,靈活操作。
6����、目錄掃描
推薦使用dirsearch,可能會(huì)發(fā)現(xiàn)網(wǎng)站備份文件�、后臺(tái)地址等等。通過掃描系統(tǒng)目錄���,目錄遍歷���,google hacking找到未授權(quán)訪問的登陸頁面,直接進(jìn)入到系統(tǒng)內(nèi)部���。
此功能點(diǎn)可能存在的漏洞有任意用戶密碼重置、短信/郵件轟炸���、驗(yàn)證碼爆破��、驗(yàn)證碼繞過�����、驗(yàn)證碼回顯���、sql注入,邏輯漏洞較多�。
利用任意用戶注冊漏洞等�。
Struts2漏洞���、cms漏洞�����、log4j�����、中間件漏洞……Shiro/log4j/fastjson 反序列化:這三個(gè)反序列化漏洞影響實(shí)在是太廣了����。
Nmap全端口掃描:nmap -sS -A -p 1-65535 ip�����,掃到ssh��、ftp�����、telnet����、數(shù)據(jù)庫等等端口可以嘗試進(jìn)一步利用
F12找一下JS文件����,重點(diǎn)查看js中的測試賬號(hào)、API接口�。
任意密碼重置���,任意賬號(hào)注冊���,短信(郵件)轟炸等��。
- 任意密碼重置:一般存在于先驗(yàn)證身份���,重置密碼(修改密碼)的系統(tǒng);或驗(yàn)證碼與手機(jī)號(hào)不綁定的系統(tǒng)��;
- 任意賬戶注冊:漏洞原理基本與任意密碼重置相同����,驗(yàn)證碼未與手機(jī)號(hào)綁定或驗(yàn)證碼可爆破;
- 短信(郵箱)轟炸:未對發(fā)送間隔,一段時(shí)間內(nèi)發(fā)送最大數(shù)量做服務(wù)端驗(yàn)證,抓包后不斷重返即可(在repeate中),若做了一定防護(hù)可添加空格``+86等進(jìn)行繞過���;
- 通過Burp抓取數(shù)據(jù)包,修改Respos返回信息���、更改URL中的id參數(shù)���、更改用戶名密碼字段(比如直接刪去密碼字段)、更改Cookie字段��,可以越權(quán)登錄到系統(tǒng)內(nèi)部����。
13�、暴力破解
大部分情況下����,系統(tǒng)登錄頁面都不存在xss,目錄遍歷��,SQL注入等漏洞����,這時(shí)候最常用的方法就是暴破和猜解登錄口令,密碼猜解最關(guān)鍵的就是字典要高效準(zhǔn)確�。
在應(yīng)用層http/https爆破密碼的常用工具是Burp Suite;
準(zhǔn)確的用戶名���,密碼字典是高效破解的重中之重�����,一般都是指定幾個(gè)常見用戶名��,嘗試 Top500�����、Top1000進(jìn)行爆破 字典不必要太大�����,最重要的是針對性要強(qiáng)�;
系統(tǒng)管理員爆破:因?yàn)楣芾韱T權(quán)限較高,通常我都會(huì)先進(jìn)行管理員口令的猜解���,總結(jié)一些常見的管理員用戶名字典��,用此用戶名字典���,再加上弱口令Top1000,同時(shí)爆破系統(tǒng)管理員用戶名密碼����。
普通用戶爆破:常見的普通用戶用戶名是姓名拼音�,總結(jié)普通用戶字典:Top3000姓名、Top10w姓名��。通?����?梢赃x擇幾個(gè)弱口令密碼�����,比如:123456,123abc����,111111,然后配合top10w來猜解登陸口令��,一些初始化的默認(rèn)密碼也很簡單���,如果能找到配合top10w通常也能爆出登錄口令��。
如果還是不能猜解成功��,就要根據(jù)目標(biāo)信息用字典生成器構(gòu)造針對性的字典來猜解了����,推薦幾個(gè)比較好的字典生成工具:Crunch����、Pydictor、Cewl����、Cupp�����。
四����、防護(hù)措施與建議
如果系統(tǒng)存在弱口令,需要管理員及時(shí)修改密碼策略和強(qiáng)制密碼復(fù)雜度�,采用字母、數(shù)字和符號(hào)的組合���,長度要達(dá)到一定的要求��,使用更強(qiáng)的密碼來保護(hù)賬戶����,從而增強(qiáng)系統(tǒng)的安全性���。
對網(wǎng)站數(shù)據(jù)進(jìn)行加密��,可以有效提高頁面的安全性�����,應(yīng)當(dāng)采用成熟的可靠的加密技術(shù)和方案。
系統(tǒng)在登錄時(shí)未能正確地管理會(huì)話����,建議實(shí)現(xiàn)適當(dāng)?shù)臅?huì)話管理措施����,如定期更換會(huì)話令牌。
網(wǎng)站使用的SQL查詢未能正確地過濾用戶提供的輸入���,建議實(shí)現(xiàn)適當(dāng)?shù)妮斎腧?yàn)證和過濾來防止SQL注入攻擊��。
系統(tǒng)在某些情況下未能正確地驗(yàn)證來自外部站點(diǎn)的請求,建議實(shí)現(xiàn)適當(dāng)?shù)腃SRF保護(hù)措施��。
6、做好備份和數(shù)據(jù)恢復(fù)工作
在頁面的運(yùn)行過程中����,應(yīng)定期備份數(shù)據(jù),以避免頁面數(shù)據(jù)的丟失���。在數(shù)據(jù)丟失時(shí)����,還應(yīng)有相應(yīng)的數(shù)據(jù)恢復(fù)方案���。
7����、進(jìn)行網(wǎng)站安全監(jiān)控
定期進(jìn)行網(wǎng)站安全檢查��,在發(fā)現(xiàn)問題時(shí)�����,及時(shí)進(jìn)行處理���,以避免安全問題的擴(kuò)散�����。
五���、總結(jié)
總的來說,對登錄框進(jìn)行滲透測試需要綜合考慮多種攻擊方法和漏洞類型�,并對掃描結(jié)果進(jìn)行進(jìn)一步的驗(yàn)證和分析。同時(shí)需要及時(shí)修復(fù)發(fā)現(xiàn)的漏洞和弱點(diǎn)�����。
測試目標(biāo)確定后����,需要了解目標(biāo)網(wǎng)站的架構(gòu)和技術(shù),例如服務(wù)器的操作系統(tǒng)和版本���、Web服務(wù)器的類型和版本�����、數(shù)據(jù)庫的類型和版本等��。這些信息有助于測試人員選擇合適的測試方法和工具�,從而更有效地進(jìn)行測試。
測試策略包括黑盒測試和白盒測試����。黑盒測試是指沒有任何關(guān)于目標(biāo)系統(tǒng)的內(nèi)部結(jié)構(gòu)和工作原理的信息,測試人員只能通過對外部界面的測試來判斷系統(tǒng)是否存在安全漏洞����。白盒測試是指測試人員具有關(guān)于目標(biāo)系統(tǒng)的內(nèi)部結(jié)構(gòu)和工作原理的信息,可以通過代碼審計(jì)等方法來發(fā)現(xiàn)系統(tǒng)中的漏洞��。
該文章在 2023/10/30 10:57:21 編輯過
400 186 1886
