声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.1
用户名枚举
网站反馈多余信息,可猜测用户信息。通过账号枚举攻击漏洞,攻击者可能可以获取到目标系统上存在的大量账号,从而再发起进一步的精准攻击,提高攻击效率
测试方法:
用不同的账户去登录,查看服务器响应是否有差异即可(查看页面、查看响应包等)
案例1(前端显示):
在注册处可以任意输入信息,应用程序会明确返回是用户密码错误还是账户错误
案例2(数据包显示):
首先抓取登录处的数据包,登录密码随便输
我们选择爆破账号后三位
如下图所示,返回包长度为194的是账号不存在的
返回长度为182的数据包则是存在的账号,在返回包中有一个 pwdErrMsg 的字段,显示该账户属于密码错误。
No.2
验证码未设置失效时间和失效次数导致验证码可被遍历
测试方法:
通过枚举找到真正的验证码
案例:
抓取登录处的数据包,验证码任意填写
设置爆破验证码的后三位
如图所示,该处验证码没有在使用后立即失效,导致验证码可被遍历
成功爆破出验证码
No.3
验证码不进行校验导致用户账户/密码可被爆破
测试方法:
抓取数据包不放,直接对关键字段进行爆破,看返回值是验证码错误还是账号密码错误
案例:
在登录处随意输入账号密码,点击登录并进行抓包
将数据包中的密码改为123456,并且爆破用户名(抓到的数据包不要放)
一共爆破了244次,每条数据包返回的都是用户名或密码错误,由此证明该登录处可进行撞库攻击,验证码未在后端进行刷新,所以只要将抓到的首次登录的数据包不放开,那么即可无限制进行撞库攻击。
No.4
验证码直接在客户端生产或者验证码直接在返回包中返回
测试方法:
直接输入目标手机号,点击获取验证码,并观察返回包即可。在返回包中得到目标手机号获取的验证码,进而完成验证,重置密码成功。
案例:
笔者并没有挖到过这类漏洞,相关案例可以查看
https://www.cnblogs.com/EEEE1/p/9865465.html
No.5
输入手机号和验证码进行重置密码时,仅对验证码是否正确进行了判断,未对该验证码是否与手机号匹配做校验
测试方法:
在提交手机号和验证码的时候,替换手机号为他人手机号进行测试,成功通过验证并重置他人密码。
案例:
首先使用自己的手机号进行重置,到最后一步输入密码的时候进行抓包
POST /Account/ResetPasscode HTTP/1.1
Host: www.xxx.xxxx.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0 Accept: \*/\* Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate
Referer: https://www.xxx.xxx.com/account/retrievepsw
Content-Type: application/json X-Requested-With: XMLHttpRequest
Content-Length: 72
Connection: close
Cookie: \_bfa=1.1556690636369.2d569l.1.1556690636369.1556690636369.1.20; \_bfs=1.20; \_RF1=123.55.157.246; \_RSG=\_wK2\_V43Y32KZJEGGTz1q8; \_RDG=284fa2b9920bcc249a1d7d156309def6f3; \_RGUID=20e20c47-ff09-4ebf-8d01-f5d4103938d4; \_bfi=p1%3D0%26p2%3D0%26v1%3D20%26v2%3D18; CarVBK=; code\_phone=\*\*\*\*\*\*\_2\_RKa1e/093V4=
{"LoginName1":"\*\*\*\*\*\*","PhoneCode":"250720","LoginPwd":"123456Ccc"}
Cookie字段里的
code\_phone=\*\*\*\*\*\*\_2\_RKa1e/093V4=
****是要重置密码手机号,2表示进行重置,最后一个字段则对应验证码
现在我们将cookie中code_phone的手机号更改为13888888888
同时Post数据的LoginName1的值也更改为13888888888
发送数据包
尝试登陆
No.6
用户名、手机号、验证码三者没有统一进行验证,仅判断了三者中的手机号和验证是否匹配和正确,如果正确则判断成功并进入下一流程。
测试方法:
输入用户名获取验证码,修改接收验证码的手机号为自己的号码,自己手机成功接收验证码,提交到网站进行验证,验证成功并进入下一流程。
案例:
该网站通过邮箱修改密码,可以修改任意用户密码
通过邮箱找回密码
点击重新发送邮件
拦截请求,修改成自己的邮箱
进入自己的邮箱,点击链接,修改成功
登陆两个账户看看
No.7
客户端在本地进行验证码是否正确的判断,而该判断结果也可以在本地修改,最终导致欺骗客户端,误以为我们已经输入了正确的验证码。
测试方法:
重置目标用户,输入错误验证码,修改返回包,把错误改为正确,即可绕过验证步骤,最终重置用户密码
案例1(绕过强制弱口令修改页面):
我们使用账号:103035/123456尝试登录账号,登录时的返回包是pwdeasy,我们将返回包修改为success,即可成功绕过系统弱口令的强制密码修改页面直接进入后台
案例2(绕过验证机制直接登录):
案例引用自:
https://mp.weixin.qq.com/s/TsUnDwtY5fxmuKrQ185MFA
我并不是特意在寻找验证码绕过的姿势,但是一个项目指出发现验证码绕过即可获得奖赏。
所以我开始寻找验证码最常见的地方,比如注册、登录和密码重置页面,我找到的那个是在登录页面。
如您所见,登录按钮已禁用,只有在我们点击“I‘m not a robot”之后才启用。
由于已禁用,因此我迅速右键单击了该按钮,然后单击了“检查元素”,并将禁用的参数更改为启用。
该按钮现已启用,我可以单击进行登陆。
因此,我输入了电子邮件和密码,并且无需单击“I’m not a robot ”即可登录。
成功ByPass验证码设置。
No.8
对修改密码的步骤没有做校验,导致可以直接输入最终修改密码的网址,直接跳转到该页面,然后输入新密码达到重置密码的目的
测试方法:
首先使用自己的账号走一次流程,获取每个步骤的页面链接,然后记录页面对应的输入新密码的链接,重置他人用户时,获取验证码后,直接输入页面链接到新密码的界面,输入密码重置成功。
案例:
通过自己账号忘记密码发送邮箱修改密码地址
进入邮箱不要打开
在同浏览器内打开网站还是忘记密码输入要修改的账号
这一步后停住
在同一浏览器中打开发到我们邮箱的链接
一定同一浏览器输入要修改的密码就OK了
成功进入
No.9
修改密码的时候,没有对原密码进行判断,且根据id的值来修改用户的密码
测试方法:
修改自己用户密码,抓取数据包,替换数据包中用户对应的id值,即可修改他人的密码。
案例:
该系统后台修改密码不需要验证原密码,且只通过id判断用户身份,id为1的是admin的账号,我们抓包修改密码时将id改为1即可成功修改admin的账号
首先先爆破出一个账户登录进去,然后点击修改用户
开启burp进行抓包。修改其id值
将其修改为任意id值,即可列出所有的用户信息
如图所示,只要我们将id=1就可以看到admin的信息了,且该处修改密码不需要验证原密码
点击修改密码,成功修改了admin的登录密码,同理也可以通过遍历userid值来任意修改他人的账户密码
No.10
重置密码走到最后一步的时候仅判断唯一的用户标识cookie是否存在,并没有判断该cookie有没有通过之前重置密码过程的验证,导致可替换cookie重置他人用户密码。(cookie可指定用户获取)
测试方法:
重置自己用户密码到达最后阶段,抓到数据包,并在第一阶段重新获取目标用户cookie,替换cookie到我们抓取的数据包中,发包测试。
案例:
请参考第5条“验证码未绑定用户”的案例。
No.11
在修改密码时可以结合CSRF漏洞来尝试修改他人密码
测试方法:
漏洞URL:http://www.xxx.xxx.com/user.asp?action=editpass
在会员中心页面输入新的密码和确认密码
点击提交信息,然后抓包
看到了用户新修改的password,然后开始构造链接
当用户点击这个链接后就可以修改密码(这里由原来的POST请求改成GET请求)
http://www.xxx.xxx.com/user.asp?action=editpasssave&userpassword=456789&userpassword1=456789&submit=+%E6%8F%90%E4%BA%A4%E4%BF%A1%E6%81%AF+
为了使链接更具迷惑性,可采取缩短链接
生成的短链接后:http://xx.cn/AiObqni1
点击链接后,看到的页面
成功修改密码
No.12
不断给用户发送短信,影响客户使用体验,并且消耗应用系统短信资源池。
测试方法:
在发送验证的的地方抓取数据包,如果能无限重放一直给一个手机号发送短信则是存在纵向短信轰炸;如果能够对手机号进行遍历,给许多手机号发短信则存在横向短信轰炸
案例1(横向轰炸):
在发送短信验证码处修改手机号后两位,对手机号进行遍历
如图所示,均可以发送成功
案例2(纵向轰炸):
在登录时,发送短信验证码的地方不断重放数据包就可以进行短信轰炸
No.13
构造恶意SQL指令来获取或更新数据库的数据,甚至在数据库账号权限较高的情况下,可以插入恶意SQL指令来调用数据库中的特殊函数来向服务器读、写文件或者执行操作系统命令
测试方法:
各位大佬按照自己的方法测试吧,在本篇中就不展开描述了
案例:
漏洞url:http://www.xxx.com:8081/#
在登录处使用 admin'or '1'='1'-- 即可登录进后台
No.14
检测系统是否存在恶意注册漏洞,对于部分注册有奖类应用,通过恶意注册方法,可进行薅羊毛类攻击,或通过批量注册账号,提高自身的中奖率
测试方法:
在注册处尝试修改数据包后重放,验证是否可以批量注册账号
案例:
抓取账号注册处第二步的信息,发现该处数据包将上一步所填写的手机号和短信验证码均一同发送到了服务端
我们爆破手机号后三位,如下图所示,如果手机号已经注册则会提醒该手机号码已经注册
我们任意修改图示数据包中的手机号和企业名,只要这两处在数据库中都不存在就返回200注册成功
我们多修改发送几次数据包,随后通过爆破的方式就会看到注册成功的账号变多
No.15
测试应用系统是否存在登录逻辑绕过漏洞,从而可以任意登录他人账号
测试方法:
可以尝试通过修改用户id,修改登录数据包的返回值等方法绕过原有的登录策略
案例:
某平台任意帐号登录
只需要添加cookie
yibouid=数字 即可登录任意用户帐号!
通过遍历 找到一个官方管理的ID 291
登录
看看浏览 还是不错嘛
No.16
如果短信验证码内容可被任意控制,则很可能被有心人以官方名义发送恶意短信给
测试方法:
抓取发送短信的数据包,查看短信是否可控
案例:
该应用程序的短信URL由前端生成,可被任意修改。
点击发送短信功能处,抓取发送短信的数据包。
url 是由前端生成传值到后台,其中的 url 值内容可控,该url会发送到收信人手里。
No.17
任意用户密码重置的10种常见姿势:
https://www.ichunqiu.com/course/59045
手机验证码常见漏洞总结:
https://www.cnblogs.com/xiaozi/p/7691344.html
绕过验证码:
https://mp.weixin.qq.com/s/TsUnDwtY5fxmuKrQ185MFA
招聘启事
安恒雷神众测SRC运营(实习生)
————————
【职责描述】
1. 负责SRC的微博、微信公众号等线上新媒体的运营工作,保持用户活跃度,提高站点访问量;
2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作,促进审核人员与白帽子之间友好协作沟通;
3. 参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;
4. 积极参与雷神众测的品牌推广工作,协助技术人员输出优质的技术文章;
5. 积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。
【任职要求】
1. 责任心强,性格活泼,具备良好的人际交往能力;
2. 对网络安全感兴趣,对行业有基本了解;
3. 良好的文案写作能力和活动组织协调能力。
简历投递至 [email protected]
设计师(实习生)
————————
【职位描述】
负责设计公司日常宣传图片、软文等与设计相关工作,负责产品品牌设计。
【职位要求】
1、从事平面设计相关工作1年以上,熟悉印刷工艺;具有敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;
2、有良好的美术功底,审美能力和创意,色彩感强;精通photoshop/illustrator/coreldrew/等设计制作软件;
3、有品牌传播、产品设计或新媒体视觉工作经历;
【关于岗位的其他信息】
企业名称:杭州安恒信息技术股份有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上
工作年限:1年及以上,条件优秀者可放宽
简历投递至 [email protected]
安全招聘
————————
公司:安恒信息
岗位:Web安全 安全研究员
部门:战略支援部
薪资:13-30K
工作年限:1年+
工作地点:杭州(总部)、广州、成都、上海、北京
工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…
【岗位职责】
1.定期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案
【岗位要求】
1.至少1年安全领域工作经验;
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例;
4.熟练掌握php、java、asp.net代码审计基础(一种或多种)
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验,熟悉各种Web调试技巧
8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)
【加分项】
1.具备良好的英语文档阅读能力;
2.曾参加过技术沙龙担任嘉宾进行技术分享;
3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;
4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;
5.开发过安全相关的开源项目;
6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;
7.个人技术博客;
8.在优质社区投稿过文章;
岗位:安全红队武器自动化工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)
【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。
【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言;
2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;
4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;
5.具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。
【加分项】
1.有高并发tcp服务、分布式等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。
简历投递至 [email protected]
岗位:红队武器化Golang开发工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)
【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。
【岗位要求】
1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言作为主要开发语言;
2.熟练使用Gin、Beego、Echo等常用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验;
3.了解docker,能进行简单的项目部署;
3.熟悉常见web漏洞原理,并能写出对应的利用工具;
4.熟悉TCP/IP协议的基本运作原理;
5.对安全技术与开发技术有浓厚的兴趣及热情,有主观研究和学习的动力,具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。
【加分项】
1.有高并发tcp服务、分布式、消息队列等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。
简历投递至 [email protected]
专注渗透测试技术
全球最新网络攻击技术
END
如有侵权请联系:admin#unsafe.sh