渗透测试中的一波三折

原创
10/14 15:47
阅读数 81

信息收集&踩点

这是一个普通的等保渗透项目,要求在一天内完成,接到项目时已经快中午了,由于时间急促,信息收集一番便开干了。
经过前期踩点发现站点使用了webpack打包且存在流量限制,目录扫描超过200会ban ip,扫描器无法正常使用,通过查看js文件发现了多个系统接口,但都存在权限校验,无法进一步利用。

重新回到登录页面进行测试,发现此处存在用户名枚举漏洞,利用用户名枚举得到存在账号admin,通过查看js发现登录密码正则匹配为强口令,且存在账号锁定策略,密码错误五次账号锁定15分钟,继续测试发现此处验证码有效期为一次,无法进行绕过,批量爆破用户弱口令也无法实现

手动尝试多个强口令登录无果,之后开启抓包截获登录数据包,观察返回包发现登录失败的response code为500,结合response返回内容和webpack信息可知,response code状态控制着系统跳转链接,通过更改response code状态为200,尝试使用逻辑漏洞突破限制,但由于系统存在权限校验,该尝试也以失败告终。

之后通过搜索关键字,从某js文件得到admin账号密码,尝试登陆,但也失败了。

漏洞挖掘

用户名枚举&弱口令

登录页面无收获,为了寻找其它的突破点,利用搜索引擎、GitHub等对目标进行信息收集,最终在目标官网处发现其邮箱用户名,复制该用户名回到目标系统,利用用户名枚举漏洞可知该账号存在于目标系统,为可登录用户。

得到了切入点,使用先前收集到的admin密码登录,但登录失败,随后便对该用户进行多个强口令登录尝试,由于验证码有效和账号锁定策略,在经过多次重复劳作后,登录成功。

由于登录成功的账号需要更改密码,为了不影响业务的稳定性,询问客户是否能更改密码,在取到客户同意后便更改密码重新进行登录,意料之外的是还存在第二层验证,也就是下面的短信验证码认证机制,经过测试发现此处可爆破验证码,但不清楚验证码的组合及长度,通过f12定位源码,发现密码输入的maxlength为4,猜测此处验证码为4位数,尝试爆破验证码,但失败。

为了绕过验证码认证机制,继续对该接口测试,通过测试发现可利用此接口下发登录验证码到任意手机号,利用该设计缺陷,更改phone内容为本机号码,使用本机接收验证码并登录,但此次尝试也失败了。

通过短信可知此处的验证码为6位数,并非是4位,这里有点奇怪,因为前端限制了输入验证码的长度为4,正常用户肯定不会f12更改maxlength再登录的,抱着疑问问了下客户才知道这个验证码登录功能仅限于管理员登录使用,非管理员用户则是直接登录,通过短短的几句话可知,这个账号具备管理员权限,且目前已经有了账号密码,只要绕过短信认证,即可获取后台管理员权限,由于6位数验证码爆破可能性较小,使用随机数爆破一番后失败,此时测试再次陷入僵局。

逻辑漏洞

回到登录处重新寻找突破口,经过观察登录数据包,在登录处发现了一个突破点,当使用账号密码登录成功后,再来到验证码登录步骤时,此时的验证码登录数据包会存在Authorization字段,这时回到webpack查看认证逻辑,根据代码逻辑,当登录数据包存在Authorization字段,再去更改response code状态是可以绕过验证码登录后台的。

利用该逻辑缺陷,回到验证码登录页面输入任意验证码,抓包修改响应内容为200即可突破限制进后台。


获取到了后台权限,为了扩大漏洞危害,继续对后台进行漏洞挖掘,尝试getshell。

文件上传漏洞

进到后台找寻上传点,最终在某文件上传处绕过前端限制上传了jsp文件,但令人失望的是,上传文件被放到了对象存储OSS。

继续对其它上传点进行尝试,通过不懈努力,终于找到一个上传文件放到本地服务器的上传接口,但存在限制,需要进行绕过。

经过多次尝试,发现更改接口为uploadtest,即可绕过限制传shell,但shell虽然传上去了,访问却提示了接口异常,shell无法正常使用,后来重新上传txt、png等文件访问,也都为异常,没办法,上传点无法正常使用,只能寻找其它突破点了。

SQL注入

继续测试也只发现了个布尔注入和一些xss,到这里已经下午5点多了,由于时间问题,只能停下来,把报告给写了,到此,本次测试也告一段落。

思考

攻击路径:

1.利用用户名枚举得到账号xx。

2.xx账号存在弱口令,更改密码登录时发现存在短信验证码限制。

3.利用逻辑漏洞绕过短信验证码限制获取后台权限,但由于系统缺陷无法get shell。

本文使用了组合漏洞进后台,中间环节哪怕缺少一个漏洞,如用户名枚举,可能都导致进后台失败,虽然用户名枚举这种漏洞在各位师傅看来用处不大,但在特定情景下,其作用还是非常显著的,如果不是用户名枚举确定了xx用户的存在,在验证码有效的情况下,或许我在尝试几个弱口令被封账号后便放弃这个用户账号,从而就没有后续突破后台的操作了,所以说渗透需要细心,每个漏洞都能环环相扣,或许一个用户名枚举就能赋予我们突破的灵感。

最后

想学网络安全以及正在学习网络安全的同学可以关注私我获取【网络安全学习资料·攻略

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部