‘’‘
版权tanee
转发交流请备注
漏洞已经提交管理员
关键过程的截图和脚本代码已经略去。希望大家学习技术和思路就好,切勿进行违法犯罪的活动。本实战案例仅作为技术分享,切勿在未经许可的任何公网站点实战。
’‘’
前言:
本次渗透交流的方法不是纯计算机网络的技术。而是一种巧解。其实大家都知道社会工程学很多时候就简单的理解为猜解。但是其意义远大于此,是一种心理角度上的宏观偏向值。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
有了编程以后,更大的程度上能够解决我们在渗透领域的问题。废话不多说,我们从一个例子来实践把。
首先,出于各种各样的原因。我们现在得到了一个网站http://xxxxxxxxxxxxx.com ,我们的目标是拿下这个服务器。
老套路一般是先挂代理,然后爬站,手动也好自动扫描也好。找sql注入点,‘单引号是否被过滤,and 1=1 and 1=2 web程序对语句的过滤,判断是否能从表单绕出原有规则的代码,逃出原目标code执行我们的命令。xss跨站脚本的测试,在留言板类似的模块用我们的js脚本传到服务器。或者用御剑或者其他抓网软件把后台爆出来,然后用burp的intruder用字典去遍历。
当然遇到防火墙也是常事,现在网上到处都是各种过D狗过waf…之类的一句话木马,但是随着安全防护的升级。我们现在hack一个网站比前几年要困难得多了。安全意识的升级以及国内免费公开学习资源的匮乏,以及这个领域的敏感性。对于渗透小白来说是很不友好的,小白们尝试了各种blog上面的案例教学,但是基本都是失败的。渴望成功,但是看不见希望。所以,在这里,我分享一种很多人不太常用的(不会放在第一位使用的)方法,社会工程学。
社会工程学方方面面,这里只是简单对与无法进行交互的对象进行分析。
正文
回到实战中。这里,我们首先打开网站主页。(请挂好你的代理,推荐使用动态ip的代理)
页面做的还是很好的,说明这个站点不是经过粗鄙之人之手。应该是比较正规且专业的团队写的网站。现在我们先用老套路,sql注入,文件包含,xss 之类的,旁站就先不打了。
我们随便点一个子页面观察一下
找半天,发现了一个存在明显可能存在sql注入的判断点,一个传参的页面。
在这里,我使用了几个常规的判断方法:
① 【’】——页面无异常
② 【and 1=1】——如下图
③ 【and 1=2】——如下图
我点击了如上图的【点击这里】,发现这个安全系统是一家叫做云锁的服务器安全公司。
当然我尝试了url,html,base64之类的格式进行编码
【and 1=1】url——【%61%6e%64%20%31%3d%31】【被拦截】
【and 1=1】html——【and 1=1】【无拦截提示,界面无变化】
【and 1=2】html——【and 1=2】【无拦截提示,界面未变化】
……………………
之后又尝试了其他的编码方式,甚至混合编码。还是没能找到一个确定的注入点。使用了脚本自动扫描抓注入点只发现了2个,但是手工测试后还是无法注入。
总而言之,我们得换下一个思路了。XSS试试看。
遗憾的是,并没有搜索栏,也没有留言模块。整个站貌似没有能和你进行线上交互的模块。
当然还有像其他的方法旁站C段漏洞扫描代码审计工具这样的也可以尝试。在w3af和skipfish中,该网站基本没什么可以利用的漏洞。
现在我们尝试使用社工吧。
我们首先得找网站的后台,
方法一:使用工具像御剑一样的后台抓取工具扫描网站。
方法二:当然你也可以尝试手动输入几个常见的比如
【admin】【login】【management】【Admin】………………之类的
方法三:利用强大的谷歌搜索,输入你的网站,再输入 inurl:admin 或者login之类的,更甚你也可以加“后台登陆”,“后台管理”这样的字样。
如图,我们进入了后台页面。这里我使用了方法二,直接在网站XXXXX.COM/后面接上management。就进去了。
好了,现在用老套路我们可以试试弱口令,
【用户名/密码】
【admin/admin】
【admin/123】
【admin/1234】
【admin/12356】
【admin/password】
………………
之类的还有很多,这里我们建议使用字典,一个好的弱口令字典助你事半功倍。当然,冗长的、耗时过量的不要使用。
同时,你要注意,在burp的intruder模块爆破时,不要图快把线程开的很大,安全性好的网站会有流量检测。
还有要观察是否含有验证码,这里我们测试的后台没有验证码的需求。这就减少了我们的爆破后台的资源。
当然,这里我简单提一些遇到验证码时如何处理,如果很难的验证码,当然人眼分析都吃力的,就算了,对于复杂的验证码,我目前没有直接破解的方法。遇到比较清楚和容易识别的,有以下方法:
方法一:写个脚本,使用baidu、google一些在线识图会得到相应的文字信息,再把得到的表单信息获取一下,就可以得到相应的验证码
方法二:,比如用api调用图片识别转换文字的软件,过滤出目标转换后的文字。
方法三:在目标网站抓图,抓个几百个验证码,然后把每个验证码信息收集起来,每个图对于要输入什么字符,这样子做一个图库(类似字典)再用脚本连接一下。
方法多种多样这里不在赘述。
————————————————————
回到实战中,弱口令字典尝试以后没有效果。
使用社会工程学分析,很多人往往在实战中会忘记一开始学渗透的时候先学信息收集。但是实战都是各种工具脚本各种搞。
其实信息是很重要的。
whois查一下站。
这里,我们得到的信息很有限,基本没什么信息。就知道了
【创建时间】
【更新时间】
【商家位置】
看来是已经申请了隐私保护。
由此推断,除了后台没有验证码以外,这个站点安全做的是相对较好了。所以我们继续寻找信息,从官网上去寻找。
总结了各个页面得到的信息如下:
由于网站隐私与安全性我就不写出真实的该案例信息,但为了尽可能详细分析,使用虚构名分析。
【网站】 www.lizifenxi.com
【地理位置】 英奇市样例区样例工业区样例高新技术区
【公司名】 有为机械制造有限公司
【负责人】 例先生
【传真】0123-123123123
【Email】lhx@lizifenxi.com
这里的信息有很多,首先例先生的姓得到了,拼音开头是l,同样发现email中后缀名是官网,前面字段是lhx很可能是负责人的姓名或者是其他相关名字。我们可以猜测密码:
youwei
youwei123
l123
adminlhx
lhx123123123123
之类的
我们现在需要构建一个字典,一个针对该网站的指定字典。需要我们自动生成,手动输入是很麻烦的。这里需要cs的一些算法,深度学习领域的。由于安全性考虑,这里我不将自动生成目标特征字典的代码开源。望理解。
——————
生成以后,(生成数字可控,这里选择50000个)使用burp-intruder遍历,把(请配置好上游代理和截断代理)。burp的intruder使用我在上一个实战中讲过了。
当跑到600个左右时,密码已经出来了。密码是【lhx0217@】
这个密码比较复杂,使用了三种字符,若用常规字典比较难得到。但这里使用了几分钟时间就得到了。
得到以后,进入后台:
成功进入了后台!
不要欣喜,拿站才开始。
我们发现有下属公司这个模块,进去以后,居然有40多个下属的站点。而且都可以直接从这个后台进入到对方站点的后台。方便性的功能带来的安全隐患看来开发团队还没注意优化。
现在我们找一个可以传文件的地方。
点击新增
现在上传木马,先用小马试试。
这里有格式限制,用图片马的方式上传
如下图,改掉数据包内格式
最后上传成功。说明服务器端没有再次验证后缀和文件头。
接下来很轻松了,用菜刀链接服务器:
就这样,我们拿下了整个服务器。同样的,我们发现它的下属单位没在这台服务器上,同样的方法。我们得到了几十台服务器。
最后,删掉日志,退出。
总结:
类似的站点成百上千,希望大家不要轻视了社工这个方法。社工是很强大的,尤其是在深度学习的领域下。在大数据时代,希望大家的密码安全意识要提高。
社工的应对方法很简单,谨慎就好。密码的设计尽可能使用偶然性原理,比如,你正要创建密码,请看看周围的事物,物品。比如偶然看到了植物,或者其他与你相关性较低的事物,把这些不相关的东西加入密码的思考。同时,代入@#!%……&等字符也是对安全性更有所提高。
整个过程用时1个多小时。生成字典的代码安全性考虑这里不公开了,交流学习的朋友可以联系我。关键过程的截图已经打码。希望大家学习技术和思路就好,切勿进行违法犯罪的活动。本实战案例仅作为技术分享,切勿在未经许可的任何公网站点实战。
本人水平有限,希望前辈指正。
1866
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
