談談如何對後臺登陸界面進行滲透

本人在安全客首發：https://www.anquanke.com/post/id/185426

0x00 前言

有些朋友在滲透時掃描到後臺登陸界面，卻不知道如何入手。最近剛好在某公司做滲透實習，對目標固定的系統滲透有些體會。因此這裏講一下對網站後臺登陸界面的滲透思路，希望能爲大家提供一些幫助。

0x01 開始

本人在進入登陸界面時，一般都是先用萬能密碼什麼的測下輸入框有沒有注入（現在很少見了）。如果沒有，那就先拿admin，123456什麼的測試下弱口令，不求運氣爆棚一下就猜到密碼。主要是看下回顯，查看是否存在賬號鎖定策略，密碼不正確，不存在此用戶名等信息，以便於嘗試遍歷可能存在的用戶名。沒驗證碼就上爆破工具，有驗證碼的話看看能不能繞過,實在不行手工測幾個賬號密碼碰碰運氣。

0x02 爆破

如果沒驗證碼阻礙，那爆破沒什麼好說的，拿個好字典，直接幹就是了。

不過注意下有時密碼傳輸會使用md5或者base64之類的加密，這時除了自己寫腳本外，可以使用burpsuite的intruder模塊內容。

爆破的傳統思路都是固定賬號爆破密碼，還有一種姿勢是固定密碼爆破用戶名。比如使用固定密碼123456，爆破常用用戶名或者常用人名拼音。

0x03 掃目錄

目錄掃描也是一個存在驚喜的地方，說不定能掃描到後臺未授權訪問的鏈接、備份文件、編輯器、敏感信息等。
像後臺登陸的網址看多了，常規的路徑像www.xxx.com/admin/login.aspx(.php)
老司機甚至不用御劍什麼的工具跑，就能直接猜到。

一般碰到下面這種情況，可採用fuzz大法。一層一層fuzz，嘗試尋找可利用的信息。漏洞銀行有一期襯衫的視頻fuzz講得很好。他用的工具是wfuzz，感覺不錯，感興趣的可以去看看。

這裏給大家講一下我做授權滲透的一個案列:
一般給客戶的後臺系統做滲透，客戶都會給個測試賬號，除了測登陸界面外，還測下後臺的功能模塊。但這次當我問客戶要賬號密碼時，客戶回：你們不是要模擬黑客做滲透測試嗎，那就自己打進去啊。( ╯□╰ )好吧，作爲實習生的我也只能硬着頭皮剛登陸界面了。

先看了下鏈接，發現是Java站，且鏈接是.do結尾，但struct2工具試了下沒成功。

看了下登陸界面，有驗證碼，網站看去的版本也挺新的，感覺不太好搞。

測下注入無果，於是抓包看下驗證碼是否可以繞過或者不變，結果這個驗證碼很稱職，爆破不了。驗證碼辨認還算清楚，不過驗證碼識別，總覺得不太靠譜。。。等絕望了找不到洞再試吧。於是去掃了下目錄。誒，發現有好東西。

首先掃到了一個services服務路徑

知道了Apache Axis組件的版本信息

然後馬上想到這個組件當時剛爆出一個RCE漏洞
poc鏈接：https://github.com/KibodWapon/Axis-1.4-RCE-Poc
結果試了下沒成功。然後再嘗試了四月份CNVD看到的RCE漏洞也無果。

還掃出了一個ckfinder編輯器
http://xxx.xxx.com/ckfinder/ckfinder.html

一看，我滴乖乖，難道已經有黑客搞進去了？
趕緊網上找了下這個版本有存在什麼漏洞，並嘗試文件上傳繞過。但很遺憾，這個網站並不存在解析漏洞，利用不了，文件上傳也沒繞過。不過令人慶幸的是，黑客應該也沒有利用成功。

。。。
又挖了一段時間，同事竟然說他拿shell了！
what?

發現他掃目錄掃到了http://xxx.xx.com/manager/html

然後一個admin/123456弱口令進入tomcat後臺，然後傳war包成功拿到shell

看了這波操作久久無語，看來我的字典太差，tomcat目錄都沒掃出來。還有弱口令漏洞，真的很無敵。

0x04 框架漏洞

對一些CMS，已經比較成熟了，漏洞確實不好挖。如果網上（烏雲，seebug，搜索引擎等）的歷史漏洞沒有復現成功，那一般情況下就只能尋找下邏輯漏洞、網站管理員配置錯誤或者弱口令什麼的。

對於一些不知名的框架，一般也可通過登陸界面底下的聲明中找到開發公司和產品版本時間。

在網上找找此公司產品是否爆出過漏洞。若是開源的框架，還可下載源碼進行代碼審計尋找漏洞。

像java的站，登陸頁面是.do或.action的網址。可嘗試下 struts2 命令執行漏洞，本人一般使用安恆的S2漏洞驗證工具。

又如thinkphp的CMS，可嘗試下是否存在相應版本的命令執行漏洞。本人曾在郵儲銀行的一個系統登陸界面挖到tp5命令執行漏洞拿到shell，補天評了1700元。emmmm,當然廠商說漏洞無影響給拒了就是另一回事了……

0x05 弱口令

可能有些小夥伴對弱口令嗤之以鼻，覺得它沒有技術含量，但其實不然，結合社工，它的作用和危害可能比其他漏洞更大，希望大家重視。

剛巧最近有去公安廳複測6月HW的漏洞，檢測漏洞是否修復。幾十份報告，原以爲要花很長時間，但結果卻是：差不多半小時就完成了，且部分時間是花在輸入網址上（報告不給拷到自己電腦上，只能看着公安廳電腦的報告手打網址）。
耗時少的其中一個原因是漏洞有八、九層的漏洞都是弱口令，其中大部分漏洞還都是部委級別的系統，所以測的很快。雖然hw期間比較特殊，還是比例這麼大還是挺能說明問題的。

以下是某大佬對14年底12306泄露密碼的統計分析

哈哈，可以發現我國還是對數字情有獨鍾，國外的top100弱口令還是不適合我大天朝的國情。很少有password,football之類的英文密碼。
密碼中包含有 123456 數字的，出現 3236 次
密碼中包含有 123 數字的，出現 11213 次
密碼中包含有 520 數字的，出現 4549 次
密碼中包含有 1314 數字的，出現 3113 次
密碼中包含有 aini 的，出現 877 次
`

次數 密碼
392 123456
281 a123456
165 123456a
161 5201314
157 111111
136 woaini1314
 98 qq123456
 98 123123
 97 000000
 93 1qaz2wsx
 83 1q2w3e4r
 80 qwe123
 76 7758521
 68 123qwe
 63 a123123
 56 woaini520
 55 123456aa
 52 1314520
 52 100200
 51 woaini
 50 woaini123
 50 123321
 49 q123456
 49 123456789
 48 asd123
 48 a123456789
 48 5211314
 48 123456789a
 47 z123456
 47 asd123456
 45 a5201314
 42 zhang123
 41 aa123456
 40 123123a
 38 aptx4869
 37 1qazxsw2
 37 1q2w3e4r5t
 36 5201314a
 35 aini1314
 35 1q2w3e
 34 woaini521
 34 q1w2e3r4
 34 31415926
 34 123456qq
 33 a111111
 33 520520
 33 1234qwer
 29 123456abc
 29 111111a
 29 110110
 28 w123456
 28 abc123
 28 7758258
 26 iloveyou
 26 159753
 25 qwer1234
 25 a000000
 24 zxc123
 24 123qweasd
 24 123654
 23 qq123123
 23 abc123456
 23 123456q
 22 qq5201314
 22 12345678
 21 456852
 21 000000a
 20 1314521
 19 zxc123456
 19 asdasd
 19 as123456
 19 666666
 19 521521
 19 112233
 18 q1w2e3
 18 abcd1234
 18 aaa123
 17 qazwsx123
 17 qaz123
 17 aaaaaa
 17 a123321
 17 12qwaszx
 17 123000
 17 11111111
 16 zxcvbnm123
 16 wang123
 16 s123456
 16 nihao123
 16 love1314
 16 caonima123
 16 asdasd123
 16 753951
 16 5845201314
 16 584520
 16 159357
 16 147258
 16 1123581321
 16 110120
 15 hao123
 15 a7758521

`

遇到網絡設備，基本像交換機、路由器、安全設備之類的，可以嘗試一下默認密碼

網上找到的，但忘了是哪個大佬發的了。

天融信防火牆，不需要證書 登錄地址:https://192.168.1.254 用戶名:superman 密碼:talent 技術支持熱線：8008105119
天融信防火牆，不需要證書 登錄地址:https://192.168.1.254：8080 用戶名:superman 密碼:talent！23 遇到設備需要把舊設備配置備份下來，再倒入新設備基於console口登陸，用戶名，密碼跟web界面一致 system config reset 清除配置 save 保存 聯想網禦防火牆，需要證書（最好用IE瀏覽器登錄）
登錄地址:https://10.1.5.254:8889 用戶名:admin 密碼:leadsec@7766、administrator、bane@7766 技術支持熱線：4008107766 010-56632666
深信服防火牆（注安全設備管理地址不是唯一的） https://10.251.251.251
https://10.254.254.254 用戶名：admin 密碼：admin 技術支持熱線：4006306430
啓明星辰 https://10.1.5.254:8889 用戶名：admin 密碼：bane@7766
https://10.50.10.45:8889 用戶名：admin 密碼：admin@123 電腦端IP：10.50.10.44/255.255.255.0 技術支持熱線：4006243900
juniper 登錄地址:https://192.168.1.1 用戶名:netscreen 密碼:netscreen
Cisco 登錄地址:https://192.168.0.1 用戶名:admin 密碼:cisco
Huawei 登錄地址:http://192.168.0.1 用戶名:admin 密碼:Admin@123
H3C 登錄地址:http://192.168.0.1 用戶名:admin 密碼:admin 技術支持熱線：4006306430
綠盟IPS https://192.168.1.101 用戶名: weboper 密碼: weboper 配置重啓生效
網神防火牆GE1口 https://10.50.10.45 用戶名：admin 密碼：firewall 技術支持熱線：4006108220
深信服VPN： 51111端口 delanrecover
華爲VPN：賬號：root 密碼：mduadmin
華爲防火牆： admin Admin@123 eudemon
eudemon Juniper防火牆： netscreen netscreen
迪普 192.168.0.1 默認的用戶名和密碼（admin/admin_default)
山石 192.168.1.1 默認的管理賬號爲hillstone，密碼爲hillstone
安恆的明御防火牆 admin/adminadmin
某堡壘機 shterm/shterm
天融信的vpn test/123456

0x06 社工

在我看來社工是很牛逼的一種攻擊方式，有時可以四兩撥千斤。

像教育站，登陸賬號可能是學號，密碼是身份證後六位。百度查xxx學校一卡通丟失，一般就能從某學生的失物啓示找到學號。

或者在文章標題下，若存在作者名字，可能就是用戶名

密碼除結合管理員電話，qq，姓名等外，還可注意下網站的一些關鍵詞。曾挖過一個弱口令漏洞，密碼是網站域名+123，都不用生成字典就進後臺了。

最近剛好參加某省護網，講個例子：對某系統爆破admin用戶的密碼沒成功，於是在聯繫我們處找到了管理員的一些信息，想生成社工字典試下運氣。

本想直接用社工密碼生成工具生成字典爆破一下的，但突然想到註冊處可以遍歷用戶名是否存在


於是結合社工嘗試幾個賬號，發現聯繫我們處的管理員的賬號是姓氏首字母加名字全拼，然後一爆破，密碼123456直接進去後臺。並在後臺的搜索處發現Sql注入，再用sqlmap神器的命令 --os-shell成功打開xpcmdshell，拿到系統權限。

社工密碼字典生成,怕麻煩的可使用在線網站生成：http://tools.mayter.cn/

也可使用cupp這款工具，這是一款交互式的工具，使用比較簡單
地址：https://github.com/Mebus/cupp.git

看看生成的密碼：

另一款是cewl，它通過爬行網站獲取關鍵信息創建一個密碼字典。
但我用了下，感覺生成的字典比較多冗餘信息，很多關聯不大的漢字都包含在字典中，個人覺得不是特別好用。

還有最近freebuf看了一篇文章，才發現hashcat這款爆破工具也能生成社工字典，感興趣的朋友也可以去試試。

0x07 邏輯漏洞

邏輯漏洞是由於一些程序員未考慮到或者爲貪圖省事，而造成的邏輯上的漏洞，一般waf不容易攔截，因此和弱口令漏洞都是現在相對容易挖掘的一類漏洞。邏輯漏洞種類十分豐富，這裏講登陸框的邏輯漏洞，主要介紹一些技巧給大家拓寬一下思路，講的不全請見諒。更詳細的漏洞細節大家可以在網上查找資源（絕不是因爲我懶）。

註冊與忘記密碼模塊

雲短信接受平臺
相信有些朋友在測試註冊模塊的時候，會使用自己的手機號，而這就帶來隱患：信息泄露，和短信騷擾。
這裏給大家提供兩個短信接受平臺，讓大家免去煩惱：
https://www.pdflibr.com/
http://www.smszk.com/

遍歷已註冊用戶
這個上面的社工例子有講，可查到用戶是否存在。

任意用戶註冊
註冊用戶不需驗證碼認證即可註冊成功的情況下，可使用工具發包，惡意批量註冊用戶。
修改發送包郵箱嘗試覆蓋註冊

1. 註冊時顯示某用戶已註冊；
2. 在註冊新用戶時抓包，更改自己的賬號信息爲admin用戶；
3. 可能可以覆蓋admin用戶，重新註冊成功。

任意密碼重置
修改密碼時使用其他人的手機號，可抓包更改成自己的手機號。自己手機收到驗證信息並輸入，可更改他人密碼成功。

跳過驗證
跳過驗證步驟、找回方式，直接到設置新密碼頁面
這裏直接用烏雲的例子說明應該就懂了。
中國電信某IDC機房信息安全管理系統設計缺陷致使系統淪陷

短信轟炸
短信轟炸，一般人可能抓包重放失敗後就放棄了。這裏有個技巧，
是從西門吹雪師傅博文裏學到的繞過的姿勢：
發送短信處一般每隔60秒才能發送一次

但若是發包時在手機號後加上一個空格、加號或換行符等特殊字符。然後重新發送，這時若發送成功，則說明可繞過限制。

此時在intruder模塊只要持續遞增空格就可造成無限短信轟炸

博文鏈接

越權

越權訪問目錄
可越權訪問到後臺路徑，網站組件配置文件，備份文件等，當然掃目錄字典也要好。
修改身份標識
更改成功登陸的用戶的身份標識，可能就能越權訪問到其他用戶的頁面。
例如：1、本人之前曾用test用戶弱口令漏洞登陸成功，然後更改參數越權訪問到admin用戶；2、曾看過一漏洞：用戶認證的token值是用戶名加時間戳的md5值，而恰好數據包某處就有返回用戶名加時間戳，然後更改時間戳前的用戶名，md5後加在token上成功越權到其他用戶上（這種漏洞一般需要細心查找登陸時身份認證參數的規律）

之前的任意密碼重置等漏洞，其實也是修改用戶身份標識，系統認證機制不完善導致漏洞出現。

抓返回包
在登陸時返回包可能返回用戶敏感信息，此時改一改參數說不定還能越權查到其他用戶信息。
或註冊、找回密碼發送短信郵箱時，可能直接返回驗證碼等

在返回包裏，更改下參數爲true、success、1，可能就能未授權進入後臺

1. 登陸抓包，點擊右鍵，抓取返回包
   

2. 觀察返回的參數
   

3. 更改參數
   

4. 成功進入後臺

禁用js

曾經碰到過一個站點，能未登陸訪問後臺首頁，但再次點擊就會退出到登陸頁面。此時禁用js，然後成功訪問部分功能模塊，成功利用文件上傳拿到webshell。
因爲有些網站的Url跳轉是由前端js控制，這時禁用js後說不定就能成功訪問。
下面是火狐的一個禁用js的插件

0x08 看網站源碼信息

當你思路枯竭的時候不妨看看源碼，它是一塊寶藏，說不定就能在裏面發現驚喜。有些程序員會把後臺的功能鏈接放在前端源碼中,說不定就存在未授權訪問，甚至有些奇葩程序員在前端代碼存放測試的賬號密碼。

首先給大家推薦一款工具，很強大：JSFinder
鏈接：https://github.com/Threezh1/JSFinder
這是一款在網站的js文件中提取URL，子域名的工具，用在後臺登陸界面抓取一些敏感的js文件效果也很不錯，我曾用它抓取過網站後臺的一個插件源碼，後臺的功能鏈接，敏感信息，接口鏈接（存在xss，注入）等等。我同學還說過burp也有抓js的插件，但可惜我沒找到，用這款也差不多夠用了。

這裏講一下烏雲的一個案例，具體鏈接忘記了，就講一下思路：
洞主之前發現了一個漏洞，提交後，等過一段時間再去瞧下那個站，發現系統大變樣，連url的路徑都改了，已經修復了嗎？
但是當洞主右鍵查看源代碼時，發現還保留着之前舊系統的鏈接和代碼，有的只是註釋了而已，關鍵是漏洞竟然還沒修？！tql，這種開發建議直接祭天。

看js代碼，甚至一些圖片的鏈接，說不定就有一番意外的收穫。比如R3start大佬的一篇博文中講的就很精彩從JS信息泄露到Webshell

文章的思路是：
作者進行滲透時，在一個圖片鏈接中發現了一個三級子域名，刪掉URl、直接訪問根路徑發現了一個title是某管理平臺的頁面。
但頁面無法正常加載，故進行目錄掃描得到後臺地址和後臺js壓縮包，然後在源碼的某處JS代碼中發現了多個可登錄的賬號。
嘗試弱口令無果後，從js壓縮包查到了默認密碼規則。成功登陸一個普通用戶，但發現權限並不大。
然後通過js代碼尋找獲取到了別的接口地址，發現存在越權漏洞，通過JS接口越權訪問到活動管理頁面獲取到管理員的登陸賬號。
最後找上傳點，抓包改後綴拿shell一氣呵成。

引用R3start師傅的一句話：
右鍵查看JS源碼，你可能會發現… 被註釋的賬號密碼、接口、token、真實IP、開發環境…. 永遠不知道程序員在JS中給你留下了什麼樣的驚喜。

0x09 總結

其實在發安全客時挺倉促的，寫的有點亂，並且還有url跳轉和端口滲透忘了加上去了，大家將就看吧。
上面的內容比較雜，篇幅也比較長，所以有些地方就沒有展開來講。有些地方可能講得比較簡略模糊，請大家見諒，如果有疑惑可以聯繫我。

順便說下感想：
這段時間的安服實習對我帶來很大的幫助，面對一些系統目標固定，不能橫向滲透。C段、端口掃描、子域名挖掘等信息收集都做不了，只能硬着頭皮懟目標。而做安全服務經常碰到的就是後臺登陸界面，懟着懟着就成長了，畢竟孰能生巧。
雖然滲透比較艱難，但也培養了我的漏洞挖掘能力。反思下自己以前挖漏洞，都是走馬觀花，面對信息收集來的一大堆資產，都是隨便測下就結束，並沒有深入且細心地去尋找漏洞，導致之前的SRC挖掘之旅十分困難。因此希望新手在挖洞時能夠更加細心，特別是挖掘SRC時，有時就得花時間一個參數一個參數去"懟"，纔能有所收穫。要相信，大力出奇跡！