0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

渗透实战:记一次弱口令的挖掘

jf_hKIAo4na 来源:先知社区 2023-05-06 11:50 次阅读

前言

最近领导安排了一次众测任务给我这个驻场的安服仔,是甲方公司一个新上线的系统,要求对此系统进行漏洞挖掘。没有任何测试账号,资产ip等信息,领导丢下一个域名就跑了。

信息收集

打开域名,就是一个堂堂正正的登陆界面

fafd012a-eb15-11ed-90ce-dac502259ad0.png

使用nslookup查一下域名解析

fb1c5e08-eb15-11ed-90ce-dac502259ad0.png

先对ip进行端口信息收集,除了一个443和一个识别不出来的2000端口,就没有其他端口。那么只能从web入手了。

fb2a641c-eb15-11ed-90ce-dac502259ad0.png

简单扫了一下目录,发现了后台登陆界面

fb423e52-eb15-11ed-90ce-dac502259ad0.png

漏洞发掘初试

由于web只找到两个登陆页面,其他什么都找到,那么只能先对登陆页面进行测试。看到前台登陆页有短信登陆功能,马上想到短信发送是否有频率和次数限制,如有则存在短信炸弹漏洞。虽说不是什么危害性很大的漏洞,但漏洞就是漏洞!然鹅,这么简单都洞找不到,哭了。

fb54540c-eb15-11ed-90ce-dac502259ad0.png

至于爆破账号密码也不要想了,验证码是真的,而且这密码还rsa加密,真的没啥心情去尝试爆破,估计毫无成功的希望。至此陷入僵局。

fb8e6fd4-eb15-11ed-90ce-dac502259ad0.png

另辟蹊径

虽说是月薪只有几千的安服仔,但作为一名无证信息安全从业人员,怎能轻易言败。重新换个角度进行思考,首先这是一个新上线的系统,而总所周知,甲方公司不具备任何开发能力,那么此系统必然是由第三方公司进行开发,而系统正式上线之前大概率是有测试系统的。下一步就是尝试去寻找此测试系统了。首先留意到前台登陆页面的源码中,可以看到甲方公司的用户协议文本。

fbb4564a-eb15-11ed-90ce-dac502259ad0.png

在各大网络空间搜索引擎中使用如下命令进行查找

tilte = "xxxx" & body = "xxxx" 经过一番搜索,可以发现一个不能说是相似,只能说是一模一样的网站。

fbd0ef08-eb15-11ed-90ce-dac502259ad0.png

常规操作,先进行一波端口扫描。这个站端口比起生产系统的多了好几个,分别有:

22 : ssh 3306 : Mysql 6379 : Redis 3000 : HTTP 测试网站 5080 : HTTP 开发商另外一个项目的网站 8848 : HTTP 不明 3000端口的测试网站跟生产站类似,只有一个登陆界面,后台地址也是一样的,也是拿它没任何办法。Mysql和Redis都是有密码的,暂时也没办法。那么将目光投向另外两个Http服务。

5080端口,也是一个只有一个登陆界面的网站,看得出跟3000端口的网站是同一个框架搭建,可以暂时略过。

8848端口打开是nginx默认页,估计是需要指定uri才能打开。简单搜索一下8848这个关键字,发现是nacos使用的默认端口。

fbe0734c-eb15-11ed-90ce-dac502259ad0.png

什么是 Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

简单来说,就是nacos里面有大量配置文件。既然有默认端口,那么有默认口令也是人之常情。直接一发nacos:nacos,一发入魂!

fbfd4eb8-eb15-11ed-90ce-dac502259ad0.png

翻查各种配置文件,发现大量敏感信息,可以找到Mysql和Redis的密码。 3306端口对外开放,直接进入Mysql里面翻网站的账号和密码hash,在另外一个表,还可以找到密码hash使用的salt。

fc147c6e-eb15-11ed-90ce-dac502259ad0.png

导出数据库所有hash,先肉眼看一下,发现有大量hash是相同,机智的你看到这个,肯定想到这要不是弱口令,要不就是默认密码。

fc2d1300-eb15-11ed-90ce-dac502259ad0.png

马上准备下班了,先用8位纯数字+小写字母进行爆破,丢上服务器慢慢爆,明天一早起床收割。

弱口令挖掘

第二天一早上班,看了一下爆破结果,又有新的发现。爆破出来的密码,大多是有特定格式的。主要的格式是:四位甲方公司英文简写+4位数字(以下我就用abcd代表该公司简写)。 使用爆破出来的口令成功登入测试网站的前台,因为是测试网站,里面也没啥有价值的系统。我们的目标还是要爆破出后台管理的密码。

fc409038-eb15-11ed-90ce-dac502259ad0.png

下一步要继续优化爆破字典,根据我对此甲方公司的了解和多年配置弱口令的经验,我初步想到以下两个思路:

使用大小组合的甲方公司英文简写+4位数字进行爆破。或者直接使用首字母大写就足够了(能按一下shift,就不想按两下,对吧),这个方案复杂度最低,甚至可以再加2位数字进行爆破。

使用大小组合的甲方公司英文简写+一位特殊字符+4位数字,或者大小组合的甲方公司英文简写+4位数字+一位特殊字符。大部分人为了强行加入特殊字符,一般喜欢在字符和数字之间加,或者在最后一位,此方案就是针对这种习惯。

废话不多说,直接爆起来。 3 hours later。。。。 方案二的字典成功爆出后台密码,密码是:Abcd2333@,严格意义上,这已经是很强的口令,有大小写字母、数字、特殊字符。但是,如果对这个公司有所了解,很容易就能发现其常用的简写,这么来说的话,这密码也能算是一个“弱口令”。

fc50c8e0-eb15-11ed-90ce-dac502259ad0.png

测试站后台成功拿下。经过后台一番探索,基本可以确定是thinkphp6,而且没有多语言插件(谁没事装这插件。。。),getshell无望。Redis权限太低,版本不是4.x,也没啥办法。至此测试站渗透结束。

回到生产网站

虽说没有成功拿下测试站有点可惜,不过从测试站的数据库拿到不少的账号和密码,这些账号密码极有可能能登陆生产网站。简单整理一下各种账号口令,都是富有甲方特色的账号,例如: 账号:abcdadmin,密码:Abcd#2022 账号:abcdtest01,密码:Abcd2333! 账号:abcdtest02,密码:Abcd2333! 账号:admin01,密码:abcd2333 手工组合各种账号和密码在主站进行测试,轻松进入后台。 编写报告:后台弱口令【高危】.docx,任务完成,安服仔永不言败~

总结

学艺不精,没办法getshell拿到权限,实在太菜。此文主要记录一个强行挖掘弱口令的过程,渗透测试需要猥琐的思路,弱口令也不再局限于top100,top1000之类。

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Web
    Web
    +关注

    关注

    2

    文章

    1263

    浏览量

    69454
  • 数据库
    +关注

    关注

    7

    文章

    3799

    浏览量

    64375

原文标题:渗透实战:记一次弱口令的挖掘

文章出处:【微信号:菜鸟学安全,微信公众号:菜鸟学安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    【freeRTOS开发笔记】一次坑爹的freeTOS升级

    【freeRTOS开发笔记】一次坑爹的freeTOS-v9.0.0升级到freeRTOS-v10.4.4
    的头像 发表于 07-11 09:15 4641次阅读
    【freeRTOS开发笔记】<b class='flag-5'>记</b><b class='flag-5'>一次</b>坑爹的freeTOS升级

    一次网站设计稿的方法

    一次网站设计稿
    发表于 06-16 09:43

    web渗透的测试流程

      渗透测试是什么?网络安全学习中,web渗透的测试流程是怎样的?后渗透的详细步骤解析如何?  渗透测试就是利用我们所掌握的渗透知识,对网站
    发表于 01-29 17:27

    种有效的图像口令身份认证方案

    分析和比较一次口令和图像口令的相关技术,指出在开放网络环境下进行身份认证时,图像口令存在的缺陷,并论证采用一次
    发表于 04-13 09:49 22次下载

    基于生物特征识别和一次口令的电子商务安全交易方案

    针对电子商务中信用卡交易的安全性问题,提出种基于生物特征识别和一次口令的电子商务安全交易方案。根据用户交易的敏感度,分别采用2种方案。第种方案中,采用安全套接层(SSL)协议和指
    发表于 11-10 15:49 16次下载
    基于生物特征识别和<b class='flag-5'>一次</b>性<b class='flag-5'>口令</b>的电子商务安全交易方案

    一次组合拳渗透测试

    在近段时间的实战中,遇到个使用多漏洞组合方式获取目标系统权限的环境。通过sql注入,账号密码爆破,任意文件下载,文件上传等多个漏洞获取webshell。
    的头像 发表于 11-17 10:56 2401次阅读

    款支持口令爆破的内网资产探测漏洞扫描工具SweetBabyScan

    轻量级内网资产探测漏洞扫描工具:SweetBabyScan,是款支持口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc
    的头像 发表于 12-02 09:23 4878次阅读

    款支持口令爆破的内网资产探测漏洞扫描工具

    甜心宝贝是款支持口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc。
    的头像 发表于 12-14 09:48 3972次阅读

    一次EDU漏洞挖掘

    可以看到需要更改密码,但前提是需要输入完整的SFZ号码,将当前的信息继续整合,已经知道某个用户的SFZ前七位+后六位,中间的数字是打码,其实不难猜出,只剩下年份的后三位(1999的999) + 月份(01 且不超过12)
    的头像 发表于 01-10 10:02 1863次阅读

    WebLogic口令getshell实战

    总结在WebLogic口令登录console的场景下的getshell方式。
    的头像 发表于 01-29 10:47 1423次阅读

    WebCrack后台口令指检测

    WebCrack是款web后台口令/万能密码批量爆破、检测工具。
    的头像 发表于 01-30 10:40 2468次阅读

    一次内网中反弹shell的艰难历程

    最近在客户现场对内网服务器进行渗透测试,发现了大量的口令,本次历程就是从这里开始。
    的头像 发表于 03-07 09:30 1174次阅读

    脚本小子的一次渗透全过程

    .前言 在一次综合渗透的过程中遇到的比较完整的渗透流程。很多现查的技巧,这次渗透的基础是基
    的头像 发表于 06-14 09:21 563次阅读
    <b class='flag-5'>记</b>脚本小子的<b class='flag-5'>一次</b><b class='flag-5'>渗透</b>全过程

    介绍款智能Web口令爆破工具

    Boom 是款基于无头浏览器的 Web 口令爆破工具。
    的头像 发表于 08-04 11:28 1981次阅读

    snmp口令及安全加固

    snmp口令及安全加固 口令检测   nmap –sU –p161 –script=snmp-brute ip //查找snmp
    的头像 发表于 12-17 14:47 98次阅读