前言
最近領(lǐng)導(dǎo)安排了一次眾測(cè)任務(wù)給我這個(gè)駐場(chǎng)的安服仔,是甲方公司一個(gè)新上線的系統(tǒng),要求對(duì)此系統(tǒng)進(jìn)行漏洞挖掘。沒(méi)有任何測(cè)試賬號(hào),資產(chǎn)ip等信息,領(lǐng)導(dǎo)丟下一個(gè)域名就跑了。
信息收集
打開(kāi)域名,就是一個(gè)堂堂正正的登陸界面
使用nslookup查一下域名解析
先對(duì)ip進(jìn)行端口信息收集,除了一個(gè)443和一個(gè)識(shí)別不出來(lái)的2000端口,就沒(méi)有其他端口。那么只能從web入手了。
簡(jiǎn)單掃了一下目錄,發(fā)現(xiàn)了后臺(tái)登陸界面
漏洞發(fā)掘初試
由于web只找到兩個(gè)登陸頁(yè)面,其他什么都找到,那么只能先對(duì)登陸頁(yè)面進(jìn)行測(cè)試。看到前臺(tái)登陸頁(yè)有短信登陸功能,馬上想到短信發(fā)送是否有頻率和次數(shù)限制,如有則存在短信炸彈漏洞。雖說(shuō)不是什么危害性很大的漏洞,但漏洞就是漏洞!然鵝,這么簡(jiǎn)單都洞找不到,哭了。
至于爆破賬號(hào)密碼也不要想了,驗(yàn)證碼是真的,而且這密碼還rsa加密,真的沒(méi)啥心情去嘗試爆破,估計(jì)毫無(wú)成功的希望。至此陷入僵局。
另辟蹊徑
雖說(shuō)是月薪只有幾千的安服仔,但作為一名無(wú)證信息安全從業(yè)人員,怎能輕易言敗。重新?lián)Q個(gè)角度進(jìn)行思考,首先這是一個(gè)新上線的系統(tǒng),而總所周知,甲方公司不具備任何開(kāi)發(fā)能力,那么此系統(tǒng)必然是由第三方公司進(jìn)行開(kāi)發(fā),而系統(tǒng)正式上線之前大概率是有測(cè)試系統(tǒng)的。下一步就是嘗試去尋找此測(cè)試系統(tǒng)了。首先留意到前臺(tái)登陸頁(yè)面的源碼中,可以看到甲方公司的用戶協(xié)議文本。
在各大網(wǎng)絡(luò)空間搜索引擎中使用如下命令進(jìn)行查找
tilte = "xxxx" & body = "xxxx" 經(jīng)過(guò)一番搜索,可以發(fā)現(xiàn)一個(gè)不能說(shuō)是相似,只能說(shuō)是一模一樣的網(wǎng)站。
常規(guī)操作,先進(jìn)行一波端口掃描。這個(gè)站端口比起生產(chǎn)系統(tǒng)的多了好幾個(gè),分別有:
22 : ssh 3306 : Mysql 6379 : Redis 3000 : HTTP 測(cè)試網(wǎng)站 5080 : HTTP 開(kāi)發(fā)商另外一個(gè)項(xiàng)目的網(wǎng)站 8848 : HTTP 不明 3000端口的測(cè)試網(wǎng)站跟生產(chǎn)站類似,只有一個(gè)登陸界面,后臺(tái)地址也是一樣的,也是拿它沒(méi)任何辦法。Mysql和Redis都是有密碼的,暫時(shí)也沒(méi)辦法。那么將目光投向另外兩個(gè)Http服務(wù)。
5080端口,也是一個(gè)只有一個(gè)登陸界面的網(wǎng)站,看得出跟3000端口的網(wǎng)站是同一個(gè)框架搭建,可以暫時(shí)略過(guò)。
8848端口打開(kāi)是nginx默認(rèn)頁(yè),估計(jì)是需要指定uri才能打開(kāi)。簡(jiǎn)單搜索一下8848這個(gè)關(guān)鍵字,發(fā)現(xiàn)是nacos使用的默認(rèn)端口。
什么是 Nacos
Nacos /nɑ:k??s/ 是 Dynamic Naming and Configuration Service的首字母簡(jiǎn)稱,一個(gè)更易于構(gòu)建云原生應(yīng)用的動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、配置管理和服務(wù)管理平臺(tái)。 Nacos 致力于幫助您發(fā)現(xiàn)、配置和管理微服務(wù)。Nacos 提供了一組簡(jiǎn)單易用的特性集,幫助您快速實(shí)現(xiàn)動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、服務(wù)配置、服務(wù)元數(shù)據(jù)及流量管理。 Nacos 幫助您更敏捷和容易地構(gòu)建、交付和管理微服務(wù)平臺(tái)。Nacos 是構(gòu)建以“服務(wù)”為中心的現(xiàn)代應(yīng)用架構(gòu) (例如微服務(wù)范式、云原生范式) 的服務(wù)基礎(chǔ)設(shè)施。
簡(jiǎn)單來(lái)說(shuō),就是nacos里面有大量配置文件。既然有默認(rèn)端口,那么有默認(rèn)口令也是人之常情。直接一發(fā)nacos:nacos,一發(fā)入魂!
翻查各種配置文件,發(fā)現(xiàn)大量敏感信息,可以找到Mysql和Redis的密碼。 3306端口對(duì)外開(kāi)放,直接進(jìn)入Mysql里面翻網(wǎng)站的賬號(hào)和密碼hash,在另外一個(gè)表,還可以找到密碼hash使用的salt。
導(dǎo)出數(shù)據(jù)庫(kù)所有hash,先肉眼看一下,發(fā)現(xiàn)有大量hash是相同,機(jī)智的你看到這個(gè),肯定想到這要不是弱口令,要不就是默認(rèn)密碼。
馬上準(zhǔn)備下班了,先用8位純數(shù)字+小寫字母進(jìn)行爆破,丟上服務(wù)器慢慢爆,明天一早起床收割。
弱口令挖掘
第二天一早上班,看了一下爆破結(jié)果,又有新的發(fā)現(xiàn)。爆破出來(lái)的密碼,大多是有特定格式的。主要的格式是:四位甲方公司英文簡(jiǎn)寫+4位數(shù)字(以下我就用abcd代表該公司簡(jiǎn)寫)。 使用爆破出來(lái)的口令成功登入測(cè)試網(wǎng)站的前臺(tái),因?yàn)槭菧y(cè)試網(wǎng)站,里面也沒(méi)啥有價(jià)值的系統(tǒng)。我們的目標(biāo)還是要爆破出后臺(tái)管理的密碼。
下一步要繼續(xù)優(yōu)化爆破字典,根據(jù)我對(duì)此甲方公司的了解和多年配置弱口令的經(jīng)驗(yàn),我初步想到以下兩個(gè)思路:
使用大小組合的甲方公司英文簡(jiǎn)寫+4位數(shù)字進(jìn)行爆破?;蛘咧苯邮褂檬鬃帜复髮懢妥銐蛄耍馨匆幌聅hift,就不想按兩下,對(duì)吧),這個(gè)方案復(fù)雜度最低,甚至可以再加2位數(shù)字進(jìn)行爆破。
使用大小組合的甲方公司英文簡(jiǎn)寫+一位特殊字符+4位數(shù)字,或者大小組合的甲方公司英文簡(jiǎn)寫+4位數(shù)字+一位特殊字符。大部分人為了強(qiáng)行加入特殊字符,一般喜歡在字符和數(shù)字之間加,或者在最后一位,此方案就是針對(duì)這種習(xí)慣。
廢話不多說(shuō),直接爆起來(lái)。 3 hours later。。。。 方案二的字典成功爆出后臺(tái)密碼,密碼是:Abcd2333@,嚴(yán)格意義上,這已經(jīng)是很強(qiáng)的口令,有大小寫字母、數(shù)字、特殊字符。但是,如果對(duì)這個(gè)公司有所了解,很容易就能發(fā)現(xiàn)其常用的簡(jiǎn)寫,這么來(lái)說(shuō)的話,這密碼也能算是一個(gè)“弱口令”。
測(cè)試站后臺(tái)成功拿下。經(jīng)過(guò)后臺(tái)一番探索,基本可以確定是thinkphp6,而且沒(méi)有多語(yǔ)言插件(誰(shuí)沒(méi)事裝這插件。。。),getshell無(wú)望。Redis權(quán)限太低,版本不是4.x,也沒(méi)啥辦法。至此測(cè)試站滲透結(jié)束。
回到生產(chǎn)網(wǎng)站
雖說(shuō)沒(méi)有成功拿下測(cè)試站有點(diǎn)可惜,不過(guò)從測(cè)試站的數(shù)據(jù)庫(kù)拿到不少的賬號(hào)和密碼,這些賬號(hào)密碼極有可能能登陸生產(chǎn)網(wǎng)站。簡(jiǎn)單整理一下各種賬號(hào)口令,都是富有甲方特色的賬號(hào),例如: 賬號(hào):abcdadmin,密碼:Abcd#2022 賬號(hào):abcdtest01,密碼:Abcd2333! 賬號(hào):abcdtest02,密碼:Abcd2333! 賬號(hào):admin01,密碼:abcd2333 手工組合各種賬號(hào)和密碼在主站進(jìn)行測(cè)試,輕松進(jìn)入后臺(tái)。 編寫報(bào)告:后臺(tái)弱口令【高?!?docx,任務(wù)完成,安服仔永不言敗~
總結(jié)
學(xué)藝不精,沒(méi)辦法getshell拿到權(quán)限,實(shí)在太菜。此文主要記錄一個(gè)強(qiáng)行挖掘弱口令的過(guò)程,滲透測(cè)試需要猥瑣的思路,弱口令也不再局限于top100,top1000之類。
審核編輯 :李倩
-
Web
+關(guān)注
關(guān)注
2文章
1264瀏覽量
69523 -
數(shù)據(jù)庫(kù)
+關(guān)注
關(guān)注
7文章
3817瀏覽量
64485
原文標(biāo)題:滲透實(shí)戰(zhàn):記一次弱口令的挖掘
文章出處:【微信號(hào):菜鳥(niǎo)學(xué)安全,微信公眾號(hào):菜鳥(niǎo)學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論