欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

谈谈对后台登陆页面的渗透测试

来源:本站整理 作者:佚名 时间:2019-09-04 TAG: 我要投稿


0x00 前言
有些朋友在渗透时扫描到后台登陆界面,却不知道如何入手。最近刚好在某公司做渗透实习,对目标固定的系统渗透有些体会。因此这里讲一下对网站后台登陆界面的渗透思路,希望能为大家提供一些帮助。
 
0x01 开始
本人在进入登陆界面时,一般都是先用万能密码什么的测下输入框有没有注入(现在很少见了)。如果没有,那就先拿admin,123456什么的测试下弱口令,不求运气爆棚一下就猜到密码。主要是看下回显,查看是否存在账号锁定策略,密码不正确,不存在此用户名等信息,以便于尝试遍历可能存在的用户名。没验证码就上爆破工具,有验证码的话看看能不能绕过,实在不行手工测几个账号密码碰碰运气。
 
0x02 爆破
如果没验证码阻碍,那爆破没什么好说的,拿个好字典,直接干就是了。
不过注意下有时密码传输会使用md5或者base64之类的加密,这时除了自己写脚本外,可以使用burpsuite的intruder模块内容。


爆破的传统思路都是固定账号爆破密码,还有一种姿势是固定密码爆破用户名。比如使用固定密码123456,爆破常用用户名或者常用人名拼音。
 
0x03 扫目录
目录扫描也是一个存在惊喜的地方,说不定能扫描到后台未授权访问的链接、备份文件、编辑器、敏感信息等。
像后台登陆的网址看多了,常规的路径像www.xxx.com/admin/login.aspx(.php)
老司机甚至不用御剑什么的工具跑,就能直接猜到。
一般碰到下面这种情况,可采用fuzz大法。一层一层fuzz,尝试寻找可利用的信息。漏洞银行有一期衬衫的视频fuzz讲得很好。他用的工具是wfuzz,感觉不错,感兴趣的可以去看看。


这里给大家讲一下我做授权渗透的一个案列:
一般给客户的后台系统做渗透,客户都会给个测试账号,除了测登陆界面外,还测下后台的功能模块。但这次当我问客户要账号密码时,客户回:你们不是要模拟黑客做渗透测试吗,那就自己打进去啊。( ╯□╰ )好吧,作为实习生的我也只能硬着头皮刚登陆界面了。
先看了下链接,发现是Java站,且链接是.do结尾,但struct2工具试了下没成功。

看了下登陆界面,有验证码,网站看去的版本也挺新的,感觉不太好搞。

测下注入无果,于是抓包看下验证码是否可以绕过或者不变,结果这个验证码很称职,爆破不了。验证码辨认还算清楚,不过验证码识别,总觉得不太靠谱。。。等绝望了找不到洞再试吧。于是去扫了下目录。诶,发现有好东西。

首先扫到了一个services服务路径

知道了Apache Axis组件的版本信息

然后马上想到这个组件当时刚爆出一个RCE漏洞
poc链接:https://github.com/KibodWapon/Axis-1.4-RCE-Poc
结果试了下没成功。然后再尝试了四月份CNVD看到的RCE漏洞也无果。
还扫出了一个ckfinder编辑器http://xxx.xxx.com/ckfinder/ckfinder.html

一看,我滴乖乖,难道已经有黑客搞进去了?
赶紧网上找了下这个版本有存在什么漏洞,并尝试文件上传绕过。但很遗憾,这个网站并不存在解析漏洞,利用不了,文件上传也没绕过。不过令人庆幸的是,黑客应该也没有利用成功。
。。。
又挖了一段时间,同事竟然说他拿shell了!
what?

发现他扫目录扫到了http://xxx.xx.com/manager/html

然后一个admin/123456弱口令进入tomcat后台,然后传war包成功拿到shell

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载