一次对某协会的渗透测试 暴力破解登录界面

大家好,我是小江,距离上次发表文章已经半年多了。你们志同道合的同志们,在被护网打、分手、抑云半年后,发现了自己的疲惫,重新焕发了一个21岁的年轻人在新的一年应该有的活力。新的一年写一系列新文章,希望能给刚入行的朋友一些启发,明白基本功和细心的重要性。


这个案例很典型,只有一个登录界面,这是我遇到的大多数政府项目的特点,往往伴随着安全设备的各层障碍。可惜界面上有提示:“用户名是社会组织的中文名称”,再加上甲方的企业性质,省去了猜测用户名的麻烦。实战中像admin这样的用户名很少,社会组织的名字大多是这样的:安徽省xx产业协会,安徽省xxx协会,只要你有耐心。


不过本着能保持安静的原则,还是要去第三方情报平台搜集关于目标的数据。还好这次没花多少时间,在微步中找到了关键数据。如你所见,有函数点的URL,文件的URL,js文件等。在100多条数据中,这是我们寻找突破的地方。注意:这里的信息收集是指除域名以外的相关信息。比如有些开发人员喜欢写某些系统分析和操作手册。在这些东西里,可以找到测试账号,系统登录后的截图等。在接下来的几篇文章中,这些无关紧要的数据会导致系统被破坏。到时候再说吧。


访问全部URL,读取JS文件后,发现没有对目标的未授权访问。PDF是社会组织的注册证书,统一整理后获得一些可用的用户名。回到目标站点,不要急着爆用户密码(我个人很讨厌上来就做这么粗糙吵杂的测试,没得选择之前是没法尝试的)。在目标站点检索密码有两种方式:邮箱检索和秘密安全检索。个人觉得找回秘密安全应该是有问题的。毕竟本地验证凭证的悲剧太多了。这两种检索方法分别进行了测试。果然,秘密检索的逻辑是本地验证凭证,在任何情况下都很酷。通过yx.jsp向服务器提交用户名后,通过ComPasswordBackQueryCmd(Com密码回显查询Cmd)向服务器请求相应的机密信息。我没想到的是,在第五个请求中,我会查询用户信息,返回md5加密密码2333,省去了我修改密码的麻烦。接下来,输入用户名和任何密码,抓取包来替换密码,并完成登陆。

登陆后点一下系统全部功能点,便于在BurpSuite中收集数据。通过Config关键字多次搜索含有IP、端口、账号、密码等数据的sftpConfig.xml,真的是很悠闲的事情。


尝试连接Xshell后,一切都很无聊。全段77个在线IP。做内网测试的是基础工作,因为大多数情况下我们是在shell下控制目标机的,所以对系统和命令的熟悉程度决定了你攻击的速度和程度。我列举几点帮助刚入行的朋友进一步思考学习,比如:

1.history命令可以用来查询history命令,但相反,history命令包含管理员操作的痕迹,比如进入某个目录,运行ssh命令,可以获取有效的账号密码等数据,其次可以判断管理员平时是否非常警惕,查询日志等操作。2.主机名命令可用于查询当前主机的名称。通常,机器的名称代表其主要功能。3.ping命令除了判断网络,还可以检测内部网络的生存情况。首先,icmp数据包没有指纹。第二,判断生存后,可以直接检测端口而不检测生存,避免了冗余操作,减少了一些风险。


上面的例子可能不太好,但我觉得已经达到了吸引别人更多关注的效果。我们就到此为止吧。

分享: