search

逻辑漏洞实战

image-20240904201236665
image-20240904202259564

hashtag
身份验证漏洞

hashtag
验证码爆破

首先要实现这个漏洞需要部署dede织梦靶场,复制源代码到phpstudy根目录下。

image-20240904204140528

访问网站安装。

image-20240904204346900

数据库密码记得设置为root,与mysql服务器一致。

image-20240904204537545

php5.3版本及以上需要修改配置文件才能运行。

image-20240904221055868

改成CGP即可。

image-20240904221301674

于是即可打开网页进入这个织梦cms的登录管理界面。

image-20240904221529849

解压工具包,打开pkav。

image-20240904221814589

登录网页时使用bp进行抓包。

image-20240904222103628

把bp抓到的请求包复制到pkav工具中,并且由于要对密码进行爆破,所以密码处需要添加标记,而因为验证码也爆破中会被使用,所以添加验证码标记。==并且注意账号要输入正确的账号,来测试密码能否爆破出来。==

image-20240904223722271

点击添加外部字典中的国外常用密码。

image-20240904222525894

由于验证码识别中需要知道网页的验证码来自哪里,使用f12点击对应的src来源。

image-20240904222640644

复制这个验证码的文件来源。

image-20240904222752221

在验证码识别模块处,把复制的地址放到验证码地址处,识别字符设置为不限定,并识别测试能够获取到验证码。

image-20240904222910754

在发包器模块下,点击启动即可开始密码爆破

image-20240904223815853

于是最后发现密码被爆破出来了,就是admin.

image-20240904224335360

hashtag
爆破-IP封锁和密码错误次数

image-20240904225345908

代理池就是一个池子有非常多的ip作为代理,那么每次使用不同ip去暴力破解,就不会出现限制ip的情况。

image-20240904225639769

这是一个python脚本文件,其中proxy由于没有代理,这里模拟使用本机来代替代理池作为代理,实际上我们要去网上买代理池去使用是最方便的。

运行这个脚本

image-20240904232322932

通过bp抓包即可发现代理是127.0.0.1发送过来的请求。

image-20240904232341610
image-20240904230406630

hashtag
多字段爆破

比如有的时候我们光输入账号密码还需携带token才能登录成功,但是如果直接暴力破解登录,哪怕账号密码是正确的,只要token错误,我们也会登陆失败。并且不能采用多线程爆破,因为每次登录的时候,web回应的报文会携带新的token,所以我们每次只有携带新的token进行登录才行,故因此只能采用单线程进行。

token本身的作用就是为了防止简单的暴力破解。

image-20240904232633254

在pikachu靶场下来演示token防爆破的漏洞。

image-20240905141448304

抓包,右键点击send to repeater,当发送两次,回显出来的错误就会是token error。所以每次登录网页都会返回一个新的token,不能无脑进行密码爆破。

image-20240905161926619

右键send to Intruder,然后清理所有的payload,在密码处和token处添加payload,并且选择attact type类型是pitchfork

image-20240905162801153

添加需要爆破的密码,其中输入正确的密码123456到这个密码本列表中。

image-20240905164324532

在option菜单下,需要提取每次发送请求都会变化的token,用鼠标选中token,并点击ok,那么每次密码爆破都会获取新的token进行下次申请。

image-20240905163527638

在payload菜单下,把payload type改成递归搜寻,那么就会根据我们上面设置的提取规则,每次登录申请都会获得新的token.

image-20240905164004598

选择一个线程,于是开始攻击。

image-20240905164145897

找那些长度不一样的去查看,结果发现密码123456登录成功,于是密码爆破成功。

image-20240905164403788

除了使用bp来解决token防爆破的漏洞,但是有的网站获取token比较难,那么也可使用自定义的python脚本来解决这类问题。

python脚本如下

运行该脚本后,得到一个csv文件,查看这个csv文件。

image-20240905191806781

通过包长度,可以判断这个有可能是admin账户的密码。因为包长度其实就是response回应的内容长度,如果登录成功和登陆失败的回显结果肯定不一样,那么自然包长度也不会相同。

image-20240905191855772
image-20240905000739523

hashtag
密文爆破

当账户密码经过加密才能够被验证时,那么我们在爆破的时候,也需要把字典密码本也需要设置对应加密编码来爆破。

image-20240905201219446

使用tomcat8靶场。

image-20240905201112319

靶场打开如下所示。

image-20240905201805885

接下来使用bp进行抓包,可以发现登陆时账号和密码进行了base64加密并且放入到Authorization字段中。

image-20240905202642482

复制这一段进行解密,会发现格式其实就是==账号:密码==

image-20240905202801245

由于是单字段爆破,所以攻击类型使用sniper,并且把密文添加成爆破对象。

image-20240905202924514

由于加密分成 ==账户 : 密码== 三个部分,所以payload类型必须是自定义迭代器。第一个部分是账号。

image-20240905203129961

第二部分是冒号。

image-20240905203240630

第三部分是密码。

image-20240905203304623

并且对这些payload进行base64加密。

image-20240905203333363

于是开始攻击即可爆破成功。

image-20240905203433583
image-20240905203704724

比如有的登录界面密码,会在前端的js进行复杂加密,我们可以使用f12查看。

image-20240905203819183

找到name属性的关键字段。

image-20240905203833829

对name的值进行搜索,可以直接搜索到js的加密

image-20240905203910252

复制到编辑器去查看对应的源码。

这种js的加密方式:将密码先进行md5加密,得到x1,将x1转化为全大写后加上冒号和cookie得到x2,对x2进行md5加密得到x3,将x3转化为全大写得到x4,最后的值为 账号名:x4

image-20240905203921743

hashtag
未授权漏洞(session和cookie)

session固定攻击是指当某个用户登录一个网站,此时网站会下发一个sessionid的cookie信息,之后用户只需携带这个sessionid就可以实现登陆验证。那么黑客可以复制这段session id来实现免密登录。

image-20240905204255720
image-20240905224914878

hashtag
未进行登陆凭证验证

image-20240905225844076

hashtag
登录验证码安全

hashtag
验证码复用

image-20240905230206991

比如说织梦后台靶场,只要验证码没输入错误,哪怕密码输入不正确,那么验证码就不会发送改变。那么实际上就可以直接爆破密码,而无需考虑验证码。

image-20240905230247690

hashtag
图形验证码绕过

验证码是否正确,通常分为前端校验和后端校验,如果是后端校验,验证码不正确就会直接拒绝登录,但是如果是前端校验,后端发现验证码不正确,会发送包给前端,让前端拒绝,但是如果使用bp拦截这个response回包,就可以让修改这个状态,让前端误以为验证码是正确的。

image-20240905231919001

hashtag
客户端验证

还有一种纯前端验证,验证码生成和验证码的验证都是由前端进行,如何判断前端验证呢,如果bp拦截回包,没有拦截到则说明是纯前端验证。

image-20240905234821728

演示这个pikachu的该关卡。

image-20240906001528880

比如说pikachu靶场,纯用前端进行验证码校验,判断验证码是否正确错误是使用js进行的。

image-20240906001441378

如果验证码输入错误,bp是无法抓到包的。但是如果验证码输入正确,那么bp才能抓取到包。

当bp抓到包后,后续哪怕验证码随便乱输入,也一样可以验证通过。因为第一次输入正确验证码获取到包了,所以就绕过了前端的验证码验证。

image-20240906001931438

hashtag
短信轰炸和无效验证

这种情况可以使用bp抓取回包,就算输入错旧密码,只要回包有包含验证信息说旧密码错误,那么我们可以改成true,从而绕过输错旧密码来修改密码。

image-20240906002729216
image-20240906003116583
image-20240906003138984
image-20240906003525783

hashtag
登录前端验证漏洞

hashtag
忘记密码漏洞

image-20240906210955596

根据下图思路可以看看接下来的案例

image-20240906221058702

首先在一个网站注册一个用户,然后修改这个用户的密码,通过抓取数据包中的参数判 断哪里是校验用户,通过修改关键参数,达到任意修改其他用户密码的目的。下面对一个网站进行模拟攻击,以便于在攻击中讲解能够更深刻的理解。 1. 先注册一个网站的账号,注销后在登录界面点击忘记密码。然后填写相应的信息,这里 填写了刚才注册的用户名和密码。然后开启浏览器的代理和 Burp 的截断,如下图所示。

image-20240906221615962

2.点击下一步后,分析报文,看到请求的报文中传递了用户名和邮箱,因此判断此数据包是用来判断是否存在此用户、用户名和邮箱是否匹配的。点击 Forward 放过次数据包。

image-20240906221704399

3、攻击者收到网站给的验证码(到这里都是正常的网站找回的逻辑)

image-20240906221740811

4、继续填写验证码,发现还是没有什么可以利用的数据,放包过去

image-20240906221759717

5、 到了修改密码的界面,填好密码后点击下一步。抓包后,观察发现这里写入了用户名和密码。可以先右键报文,然后 Send to Intruder 之后可以爆破用户名,并将其修改为同 一个密码。不过这里只是测试一个叫 zhangwei 用户名,这是我们之前爆破出的一个其他的用户,如下图所示

image-20240906221907732

6、发送之后,发现修改成功(这里漏洞点:原因是没有对校正的账号和修改的账号进行匹配,导致可以先通过用户验证后,去修改别人的密码)

image-20240906221954903
image-20240906222007419

接下来看看这个思路的相关案例

image-20240906222326644`

1.在找回密码的界面,发现是通过填写手机号和返回的验证码进行身份认证。

image-20240906222646533

2.先填写一个想要修改的手机号,验证码随意填写一个。再打开浏览器代理和 Burp 的截断,这时候点击提交后,会抓取一个 请求的数据包。 再右键点击报文内容,选择如下图所示。

image-20240906222719295

3.这个时候可以拦截到回包, 观察图数据包中的 status 字段,这里的 0 可能是验证码错误的返回代码,因此我们尝试把他改为“1”,试试

image-20240906222815488

4.结果直接发发现已经可以输入新密码了

image-20240906222843764

hashtag
token参数可逆

image-20240906223156197

这是一个ctf的靶场,我们点击忘记密码。

image-20240906230222581

分别按需对aaa,admin,bbb进行重置密码。

image-20240906233329133
image-20240906233342595
image-20240906233353092

根据aaa用户的sukey,可以发现sukey的特点是长度32位,我们不得不怀疑是进行了md5进行加密

image-20240906230627313

于是解密得到一串数字

image-20240906230605317

查看bbb用户的sukey并进行md5解密。

image-20240906230734553
image-20240906230826551

将该请求报文,send to intruder开始爆破。

image-20240906230856463

添加需要爆破的token。并且username账户要改成admin.

image-20240906231334091

payload是数字,并且设置爆破的范围。

image-20240906231036195

并且需要对数字进行md5加密,来依次爆破token.

image-20240906231112172

于是点击开始攻击,根据长度不同找到这个,最后自然就找到了key,则该关卡通关。

image-20240906233106514

案例二:基于关键字段生成的 token 某网站密码找回功能

请求含有三个参数:

image-20240906234347853

1、username 是邮箱、rvcode 图片验证码、sid 未知,登录邮箱查看重置 URL

image-20240906234422627

2、重置的关键参数为key,直接丢到md5发现无法解密,后来发现多次尝试,发现将 md5(username + sid) 可以得到一个和邮件一样的MD5

image-20240906234459824

3、 猜测出其 key 的生成算法,那么,后续将豪无压力重置任意账号的密码了。

4、 类似的还有,带凭证的重置链接为 http://mysite.com/sms.php?k=a18f057d5aF 多次获取重置链接发现,凭证 f198a79b9cF 末尾的 F 恒定不变,前面 10 位字符疑似 md5 加密, 尝试对不同参数的排 列组合进行 md5 加密 当尝试到 md5(手机号+图片验证码) 时发现 生成结果与邮件中的凭证一致:

image-20240906234743089

hashtag
服务端验证逻辑缺陷

image-20240907000024701
image-20240907000252322

2.这里抓取到数据包,观察数据包,数据包中包含用户名,旧密码和新密码。

image-20240907000350323

​ 3.将用户名修改成的其他的用户名

image-20240907000406775

4、发现wangkaijiang的密码修改成功

image-20240907000437637 ·

image-20240907000534988

hashtag
任意账号注册

image-20240907192718497

hashtag
权限漏洞

垂直越权是逐渐获得高权限,水平越权是获取其他的用户,拥有其他用户的权限。

image-20240907194510616
image-20240907200730949
image-20240907201651070

hashtag
其他类型

数据包重放漏洞可以 造成短信轰炸,通用修复方法可以使用token机制,每次发送请求包,服务端都会回应一个新token,如果没有携带新token,那么就无法进行验证码验证,这样就避免了短信轰炸。

image-20240907203610585

这个可以对比之前upload-labs文件上传漏洞的18关。

image-20240907204010571
image-20240907205854137
image-20240907210000341
image-20240907211256923
image-20240907224410583

hashtag
SRC漏洞总结

image-20240907225010375
image-20240907225742603
image-20240907230459846
image-20240907230646474
image-20240907230805193
image-20240907230931742
image-20240907231322860
image-20240907231611360
Previous2-12逻辑漏洞实战(笔记)Next2-13密码暴力猜解与防御(笔记)

Last updated