渗透测试中的一波三折
信息收集&踩點(diǎn)
這是一個(gè)普通的等保滲透項(xiàng)目,要求在一天內(nèi)完成,接到項(xiàng)目時(shí)已經(jīng)快中午了,由于時(shí)間急促,信息收集一番便開(kāi)干了。
經(jīng)過(guò)前期踩點(diǎn)發(fā)現(xiàn)站點(diǎn)使用了webpack打包且存在流量限制,目錄掃描超過(guò)200會(huì)ban ip,掃描器無(wú)法正常使用,通過(guò)查看js文件發(fā)現(xiàn)了多個(gè)系統(tǒng)接口,但都存在權(quán)限校驗(yàn),無(wú)法進(jìn)一步利用。
重新回到登錄頁(yè)面進(jìn)行測(cè)試,發(fā)現(xiàn)此處存在用戶名枚舉漏洞,利用用戶名枚舉得到存在賬號(hào)admin,通過(guò)查看js發(fā)現(xiàn)登錄密碼正則匹配為強(qiáng)口令,且存在賬號(hào)鎖定策略,密碼錯(cuò)誤五次賬號(hào)鎖定15分鐘,繼續(xù)測(cè)試發(fā)現(xiàn)此處驗(yàn)證碼有效期為一次,無(wú)法進(jìn)行繞過(guò),批量爆破用戶弱口令也無(wú)法實(shí)現(xiàn)
手動(dòng)嘗試多個(gè)強(qiáng)口令登錄無(wú)果,之后開(kāi)啟抓包截獲登錄數(shù)據(jù)包,觀察返回包發(fā)現(xiàn)登錄失敗的response code為500,結(jié)合response返回內(nèi)容和webpack信息可知,response code狀態(tài)控制著系統(tǒng)跳轉(zhuǎn)鏈接,通過(guò)更改response code狀態(tài)為200,嘗試使用邏輯漏洞突破限制,但由于系統(tǒng)存在權(quán)限校驗(yàn),該嘗試也以失敗告終。
之后通過(guò)搜索關(guān)鍵字,從某js文件得到admin賬號(hào)密碼,嘗試登陸,但也失敗了。
漏洞挖掘
用戶名枚舉&弱口令
登錄頁(yè)面無(wú)收獲,為了尋找其它的突破點(diǎn),利用搜索引擎、GitHub等對(duì)目標(biāo)進(jìn)行信息收集,最終在目標(biāo)官網(wǎng)處發(fā)現(xiàn)其郵箱用戶名,復(fù)制該用戶名回到目標(biāo)系統(tǒng),利用用戶名枚舉漏洞可知該賬號(hào)存在于目標(biāo)系統(tǒng),為可登錄用戶。
得到了切入點(diǎn),使用先前收集到的admin密碼登錄,但登錄失敗,隨后便對(duì)該用戶進(jìn)行多個(gè)強(qiáng)口令登錄嘗試,由于驗(yàn)證碼有效和賬號(hào)鎖定策略,在經(jīng)過(guò)多次重復(fù)勞作后,登錄成功。
由于登錄成功的賬號(hào)需要更改密碼,為了不影響業(yè)務(wù)的穩(wěn)定性,詢問(wèn)客戶是否能更改密碼,在取到客戶同意后便更改密碼重新進(jìn)行登錄,意料之外的是還存在第二層驗(yàn)證,也就是下面的短信驗(yàn)證碼認(rèn)證機(jī)制,經(jīng)過(guò)測(cè)試發(fā)現(xiàn)此處可爆破驗(yàn)證碼,但不清楚驗(yàn)證碼的組合及長(zhǎng)度,通過(guò)f12定位源碼,發(fā)現(xiàn)密碼輸入的maxlength為4,猜測(cè)此處驗(yàn)證碼為4位數(shù),嘗試爆破驗(yàn)證碼,但失敗。
為了繞過(guò)驗(yàn)證碼認(rèn)證機(jī)制,繼續(xù)對(duì)該接口測(cè)試,通過(guò)測(cè)試發(fā)現(xiàn)可利用此接口下發(fā)登錄驗(yàn)證碼到任意手機(jī)號(hào),利用該設(shè)計(jì)缺陷,更改phone內(nèi)容為本機(jī)號(hào)碼,使用本機(jī)接收驗(yàn)證碼并登錄,但此次嘗試也失敗了。
通過(guò)短信可知此處的驗(yàn)證碼為6位數(shù),并非是4位,這里有點(diǎn)奇怪,因?yàn)榍岸讼拗屏溯斎腧?yàn)證碼的長(zhǎng)度為4,正常用戶肯定不會(huì)f12更改maxlength再登錄的,抱著疑問(wèn)問(wèn)了下客戶才知道這個(gè)驗(yàn)證碼登錄功能僅限于管理員登錄使用,非管理員用戶則是直接登錄,通過(guò)短短的幾句話可知,這個(gè)賬號(hào)具備管理員權(quán)限,且目前已經(jīng)有了賬號(hào)密碼,只要繞過(guò)短信認(rèn)證,即可獲取后臺(tái)管理員權(quán)限,由于6位數(shù)驗(yàn)證碼爆破可能性較小,使用隨機(jī)數(shù)爆破一番后失敗,此時(shí)測(cè)試再次陷入僵局。
邏輯漏洞
回到登錄處重新尋找突破口,經(jīng)過(guò)觀察登錄數(shù)據(jù)包,在登錄處發(fā)現(xiàn)了一個(gè)突破點(diǎn),當(dāng)使用賬號(hào)密碼登錄成功后,再來(lái)到驗(yàn)證碼登錄步驟時(shí),此時(shí)的驗(yàn)證碼登錄數(shù)據(jù)包會(huì)存在Authorization字段,這時(shí)回到webpack查看認(rèn)證邏輯,根據(jù)代碼邏輯,當(dāng)?shù)卿洈?shù)據(jù)包存在Authorization字段,再去更改response code狀態(tài)是可以繞過(guò)驗(yàn)證碼登錄后臺(tái)的。
利用該邏輯缺陷,回到驗(yàn)證碼登錄頁(yè)面輸入任意驗(yàn)證碼,抓包修改響應(yīng)內(nèi)容為200即可突破限制進(jìn)后臺(tái)。
獲取到了后臺(tái)權(quán)限,為了擴(kuò)大漏洞危害,繼續(xù)對(duì)后臺(tái)進(jìn)行漏洞挖掘,嘗試getshell。
文件上傳漏洞
進(jìn)到后臺(tái)找尋上傳點(diǎn),最終在某文件上傳處繞過(guò)前端限制上傳了jsp文件,但令人失望的是,上傳文件被放到了對(duì)象存儲(chǔ)OSS。
繼續(xù)對(duì)其它上傳點(diǎn)進(jìn)行嘗試,通過(guò)不懈努力,終于找到一個(gè)上傳文件放到本地服務(wù)器的上傳接口,但存在限制,需要進(jìn)行繞過(guò)。
經(jīng)過(guò)多次嘗試,發(fā)現(xiàn)更改接口為uploadtest,即可繞過(guò)限制傳shell,但shell雖然傳上去了,訪問(wèn)卻提示了接口異常,shell無(wú)法正常使用,后來(lái)重新上傳txt、png等文件訪問(wèn),也都為異常,沒(méi)辦法,上傳點(diǎn)無(wú)法正常使用,只能尋找其它突破點(diǎn)了。
SQL注入
繼續(xù)測(cè)試也只發(fā)現(xiàn)了個(gè)布爾注入和一些xss,到這里已經(jīng)下午5點(diǎn)多了,由于時(shí)間問(wèn)題,只能停下來(lái),把報(bào)告給寫了,到此,本次測(cè)試也告一段落。
思考
攻擊路徑:
1.利用用戶名枚舉得到賬號(hào)xx。
2.xx賬號(hào)存在弱口令,更改密碼登錄時(shí)發(fā)現(xiàn)存在短信驗(yàn)證碼限制。
3.利用邏輯漏洞繞過(guò)短信驗(yàn)證碼限制獲取后臺(tái)權(quán)限,但由于系統(tǒng)缺陷無(wú)法get shell。
本文使用了組合漏洞進(jìn)后臺(tái),中間環(huán)節(jié)哪怕缺少一個(gè)漏洞,如用戶名枚舉,可能都導(dǎo)致進(jìn)后臺(tái)失敗,雖然用戶名枚舉這種漏洞在各位師傅看來(lái)用處不大,但在特定情景下,其作用還是非常顯著的,如果不是用戶名枚舉確定了xx用戶的存在,在驗(yàn)證碼有效的情況下,或許我在嘗試幾個(gè)弱口令被封賬號(hào)后便放棄這個(gè)用戶賬號(hào),從而就沒(méi)有后續(xù)突破后臺(tái)的操作了,所以說(shuō)滲透需要細(xì)心,每個(gè)漏洞都能環(huán)環(huán)相扣,或許一個(gè)用戶名枚舉就能賦予我們突破的靈感。
最后
想學(xué)網(wǎng)絡(luò)安全以及正在學(xué)習(xí)網(wǎng)絡(luò)安全的同學(xué)可以關(guān)注私我獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】
總結(jié)
以上是生活随笔為你收集整理的渗透测试中的一波三折的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 【渗透测试】一次运气很好的文件上传
- 下一篇: 【CTF解题】BCTF2018-hous