3. 漏洞复测系列 -- 利用不安全API进行账号枚举并爆破密码登录

最新推荐文章于 2024-04-15 06:16:27 发布
最新推荐文章于 2024-04-15 06:16:27 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: 漏洞验证系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40606798/article/details/86513203
版权

本系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。

初学者,暂时只知道以 wdsl 的web服务接口,可适用这种方法,如有,如有更好的,或者接口测试的,请留言告知,多谢了…)

一、漏洞描述:

所用工具:AWVS、Burp suit

利用 awvs 中的web services Editor 的功能。

利用SOAP的getOrgCodeByUserName方法,可以绕过前台的验证码进行批量用户名猜解,随后用loginByChannnelCode方法,可以进行账号密码的爆破,这里就绕过了网页验证码的闲置。

二、漏洞验证

1. 利用 AWVS 扫描

利用 AWVS 扫描,发现可能有这个漏洞,于是利用 AWVS 的 Web Services Editor 开始复测

  1. 经测试发现,利用SOAP的getOrgCodeByUserName方法,可以绕过前台的验证码,利用 Burp 进行批量用户名猜解。
    经猜解发现 存在 lilong 这个用户
最低0.47元/天 解锁文章
Peter_Lv1
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API fuzz字典 api爆破字典
03-25
因为找了很久有些是比较古老的字典,一直没收获,直到自己去整了一个。 字典包含我在野外看到的 API 函数名称。 所有 API 函数名称动词 所有 API 函数名称名词 API 函数名动词,前导字符大写 函数名称动词,前导字符小写 带有前导字符大写的 API 函数名称名词 带有前导字符小写的 API 函数名称名词
OpenSSH 用户名枚举漏洞(CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
AWVS-Web Scanner使用教程
W小哥
01-14 8767
一、不需要登录的扫描 二、需要登陆的扫描 有的时候,需要登陆进去扫描网站内容 第一步:新建扫描 第二步:输入目标IP地址,点击next 第三步:很多模块的漏洞测试,选择默认(默认是所有漏洞都检测),点击next 第四步:点击录制用户名密码 打开之后界面如下图所示,输入用户名密码验证码 点击完成 输入用户名保存 点击next 正在进行登陆测试 登陆成功如下图所示(不成功重新...
AWVS扫描web站点
m0_61506558的博客
08-25 5269
AWVS扫描Web应用程序。
GeoServer SQL 注入漏洞复现(CVE-2024-25157)附poc_geoserverl漏洞
最新发布
qd520_1314的博客
04-15 946
在2.22.1和2.21.4之前版本中,在开放地理空间联盟(OGC)标准定义的过滤器和函数表达式中发现了一个SQL注入问题,未经身份验证的攻击者可以利用漏洞进行SQL注入,执行恶意代码。使用方法:python CVE-2023-25157.py http://your-ip:8080/geoserver/ows。在进行注入之前,首先要获取地理图层列表信息,这是sql注入payload中的一个必要参数。1.访问http://yourip:8080/geoserver进入首页。2.获取每个功能名称。
mysql 帐户枚举漏洞_漏洞分析:OpenSSH用户枚举漏洞(CVE-2018-15473)分析
weixin_29692851的博客
01-19 543
原标题:漏洞分析:OpenSSH用户枚举漏洞(CVE-2018-15473)分析 介绍这个漏洞虽然不能生成有效用户名列表,但是它可以允许攻击者猜测用户名。目前这个OpenSSH用户枚举漏洞(CVE-2018-15473)的详细信息已经上传至了GitHub,感兴趣的同学可以自行查看【传送门】。在这篇文章中,我们将对该漏洞进行深入分析,并提供一些可行的缓解方案。技术细节这个漏洞存在于OpenSSH所实...
6、漏洞复测系列 -- 破窗漏洞(MS14-066)
热门推荐
Peter 的博客
01-29 1万+
系列文章旨在对于有一定网络安全基础的人员,在日常工作中扫描出来的各种漏洞,如何进行验证,以区分该漏洞是否存在或是扫描器误报。请勿应用非法途径。 一、漏洞描述 由于安全通道(Schannel)安全包对包的处理不当,远程Windows主机受到远程代码执行漏洞的影响。 攻击者可以通过将特制数据包发送到Windows服务器来利用漏洞。微软为此漏洞,更新了四种新的ssl加密,测试发现系统不支持此类加...
CVE-2022-23131漏洞复测
weixin_42618425的博客
02-23 9585
CVE-2022-23131漏洞复测 1、漏洞介绍 Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。 2、漏洞复测
用户名枚举漏洞
LuckySec
12-20 3330
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。当输入不存在的用户名时,系统提示“登录失败,不存在用户名!综上,根据返回信息的不同可不断枚举出系统存在的用户名信息。当输入存在的用户名时,系统提示“登录失败,密码错误!输入任意账号密码尝试登录
ScanApi:子域枚举、子域接管监控 api 和 S3 存储桶扫描器
05-29
子域枚举、子域接管监控 api 和 S3 存储桶扫描器。 安装 Linux git clone https://github.com/melbadry9/ScanApi.git cd ScanApi sudo bash install.sh python3 app.py 码头工人 docker build -t scanapi:latest ...
lfi-fuzz:用于枚举并尝试从LFI漏洞获取代码执行的python脚本
05-04
用于枚举并尝试从LFI漏洞获取代码执行的python脚本 用法:lfi-fuzz.py [选项] 选项:-h,--help显示此帮助消息并退出-u URL,--url = URL您要测试的URL: : page LFI --traversal -file = TRAVERSAL_FILE...
swagger-typescript-api:通过Swagger方案的TypeScript API生成器
01-30
招摇打字API 通过摇摇欲坠的方案生成API。 支持OA 3.0、2.0,JSON,yaml 生成的api模块使用发出请求。 任何问题可以问或在(#招摇,打字稿-API频道) :eyes: 例子 您可以在找到所有示例 :stop_sign: 它是带有...
如何通过Objective-C的枚举学习iOS中位操作.md详解
08-26
主要给大家介绍了关于如何通过Objective-C的枚举学习iOS中位操作.md的相关资料,文中通过示例代码介绍的非常详细,对各位iOS开发者们具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
7.2 discuz 拿shell_Discuz! 7.2及以下版本及各uc产品api接口Get webshell漏洞
weixin_39612220的博客
12-22 236
对于dz,我们比较关心的是拿shell,但dz的东西想拿shell太难太难了,上一篇文章的末尾铺垫了下,所以这篇文章也算不上马后炮了...这个漏洞已经在discuz! x1版本悄悄给补上了,但是7.2及以下含有uc接口的版本的均没有补。这个漏洞其实也是老漏洞,去年大家就已经知道了,是二次写配置文件的漏洞,就是年初《创始人通过后台ucenter拿shell漏洞》(http://www.oldjun....
(45.4)【API接口漏洞API接口常见的漏洞、owasp API 漏洞Top10
05-07 3089
API接口漏洞】Top10
用户名密码枚举
94小菜
01-04 624
简介: 在用户登录系统失败时,系统会在页面显示用户登录失败的具体信息 危害: 攻击者可根据此类登录失败提示信息,来判断当前登录账号是否在系统中存在,从而进行有针对性的暴力破解口令测试 漏洞挖掘: 假如提交账号在系统中不存在,系统提示“用户名不存在”、“账号不存在”等明确信息;假如提交账号在系统中存在,则系统提示“密码/口令错误”等间接提示信息 修复建议: 对系统登录失败提示语句表达内容进行统一的模糊描述,如用户名或密码错误 ...
简单漏洞复现_网络渗透测试
Radiency的博客
11-23 1530
利用easy file sharing server服务漏洞;远程控制目标,生成主控端、被控端,获得靶机控制权。
安全漏洞API接口
angaoux03775的博客
01-08 1029
  这个是avfisherapi写的API,经常用,每次找他的博客都搜到AV,尴尬。。在这里记下来。 0x01 查询最新安全事件和漏洞的接口 接口URL: 乌云网:http://avfisherapi.sinaapp.com/wooyun/ Freebuf:http://avfisherapi.sinaapp.com/freebuf/ 安全牛:http://avfisher...
CVE-2018-15473 漏洞复现(ssh用户名枚举
啊酒弟弟的博客
07-13 2395
CVE-2018-15473 漏洞复现(ssh用户名枚举) OpenSSH 7.7及之前版本中存在安全漏洞 详细描述:OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH7.7及之前版本中存在安全漏洞,该漏洞源于程序会对有效的和无效的身份验证请求发出不同的响应。攻击者可通过发送特制的...
Autodesk.AutoCAD.GraphicsInterface.DrawableType--
09-11
### 回答1: Autodesk.AutoCAD.GraphicsInterface.DrawableType是Autodesk.AutoCAD中的一个枚举类型,用于表示绘图对象的类型。它包括以下成员: - BlockReference:块引用 - Circle:圆 - DwfUnderlay:DWF叠加 - Ellipse:椭圆 - Hatch:填充 - Image:图像 - Leader:引线 - Line:直线 - MText:多行文本 - Point:点 - Polyline:多段线 - Ray:射线 - Region:区域 - Solid:实体 - Spline:样条曲线 - Text:单行文本 - Tolerance:公差标注 - Trace:轮廓 通过该枚举类型,可以方便地判断绘图对象的类型,从而进行相应的处理。 ### 回答2: Autodesk.AutoCAD.GraphicsInterface.DrawableType是一个在AutoCAD软件中使用的枚举类型,用于表示图形接口中的可绘制对象类型。 这个枚举类型定义了许多可绘制对象的不同类型,每个类型都有其特定的属性和方法。在AutoCAD中,可绘制对象可以是线条、多边形、文本、曲线等等。通过使用DrawableType枚举类型,用户可以方便地进行判断和处理不同类型的可绘制对象。 枚举类型定义了几个常见的可绘制对象类型,包括点、直线、圆、多段线等。用户可以根据自己的需求选择合适的类型进行绘制。另外,用户还可以利用可绘制对象的属性和方法对图形进行编辑、变换和操作。 通过使用DrawableType枚举类型,开发人员可以更好地控制和管理可绘制对象。他们可以根据不同的需求选择合适的对象类型,并对其进行操作和修改。这样可以提高开发效率,减少错误发生的可能性。 总之,Autodesk.AutoCAD.GraphicsInterface.DrawableType是一个用于表示AutoCAD图形接口中可绘制对象类型的枚举类型。通过使用这个枚举类型,用户可以方便地处理和操作不同类型的可绘制对象,提高开发效率和减少错误。 ### 回答3: Autodesk.AutoCAD.GraphicsInterface.DrawableType是AutoCAD的图形接口中的一个类,用于描述可绘制图形元素的类型。 该类是一个枚举类,包含了AutoCAD中各种不同类型的可绘制图形元素,例如线段、多边形、圆弧、文字等。 使用DrawableType类可以方便地对不同类型的图形元素进行分类和处理,提供了各种方法和属性用于操作和获取图形元素的相关信息。 比如,我们可以使用DrawableType类的方法来判断一个图形元素的类型,从而决定采取不同的操作方式。例如,可以通过检查元素的DrawableType属性,判断它是线段还是多边形,然后选择使用不同的绘制方法来显示该元素。 此外,DrawableType类还可以用于从AutoCAD的图形数据中提取特定类型的图形元素,方便进行后续处理和操作。例如,可以利用DrawableType类的方法来筛选出所有的文字元素,然后进行文字处理操作,如修改字体、调整位置等。 总之,Autodesk.AutoCAD.GraphicsInterface.DrawableType是AutoCAD图形接口中的一个重要类,它提供了对图形元素类型的描述和操作。使用它可以方便地对AutoCAD中的图形数据进行分类和处理,提高了绘图的效率和精确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值