实战弱口令爆破-图形验证码绕过

admin

102755
文章

87
评论

2023年5月17日09:00:56评论116 views字数 2167阅读7分13秒阅读模式

学网安渗透

扫码加我吧

免费&进群

来Track安全社区投稿~

千元稿费！还有保底奖励~

一、背景：在客户现场使用设备实施项目。闲得无聊，逛了逛我的大学网站，想起之前打过一次，但是没能拿下，隐隐约约有点不爽，于是决定再打一次…
二、流程：学校域名-子域名挖掘-目录扫描-访问挖掘和扫描得到的url（200和301/302-对得到的信息进行分类记录（用excel记录子域名、目录、测试项）-渗透测试-记录结果-总结-发布文章

实战弱口令爆破-图形验证码绕过

三、过程：

1、根据流程找到一个电子档案系统，大致分析了界面，感觉可以爆破一下弱口令，于是进行实操：

实战弱口令爆破-图形验证码绕过

2、一手admin直接。。。。错误

实战弱口令爆破-图形验证码绕过

3、看得出来，光这个界面还是做的挺好的，至少猜不到用户名，可惜啊可惜，谁叫你有个忘记密码呢，在忘记密码处使用admin账号试试，要不不出手，一出手那必是admin

实战弱口令爆破-图形验证码绕过

4、这不就有账号了，一般情况下直接爆破就行了，但是为了保险起见咱还是多搞几个账号，万一被锁了还可以有其他出路。

5、说的容易，可怎么得到更多的账号呢，这不是有验证码吗，你怎么爆破。明眼人一看就知道要用burp中的插件captcha-killer-modified识别图片了，详细步骤可以在网上搜索，也可以在社区文章中找，推荐下面这个，跟着步骤走没什么大问题，但是最后一步启动的时候命令写错了（可以在命令行中输入python然后空格接着使用TAB键，就可以自行补全了），ps：这篇文章的安装步骤可以，但是使用步骤略微繁杂，作者写的有点啰嗦了。其实在文章中使用部分的第四步：点击获取按钮，获取验证码之后就不用按照他的步骤走了，按照下面第二张图走即可。切记切记切记，打开插件的命令行（python codereg.py）不能关闭，不然识别不了。
https://blog.csdn.net/yaoguangyang05/article/details/129066400

实战弱口令爆破-图形验证码绕过

根据下面这个步骤来：：：：

实战弱口令爆破-图形验证码绕过

5、点击看不清按钮，或者将图片复制链接并打开，就可以抓包然后识别了（详细步骤可以在网上）

实战弱口令爆破-图形验证码绕过

6、这不就识别到了吗

实战弱口令爆破-图形验证码绕过

7、直接开干，识别到之后爆破用户名，一般来讲学校的用户名都是四五位的数字组成的，长一点的就6位。但是由于刚才admin有用，于是爆破了一下字母，但是没用。直接爆破0-111111。果然爆破出五百多个用户。

实战弱口令爆破-图形验证码绕过

8、爆破出了用户名就可以爆破密码了，回到原先的登录界面，原以为可以直接爆破，谁曾想有个账号锁定机制，还有个多次错误增加验证码的机制，真的是有点烦。

实战弱口令爆破-图形验证码绕过

9、上有政策那必下有对策，先解决验证码机制，根据尝试，发现无论账号对不对，错误的次数多了都会添加验证码，这就说明是根据浏览器记录的登录失败次数来添加验证码的，果断删除JBOXSESSIONID，果然没验证码了

10、到第九步，各位大佬们肯定看到了密码是加密传输的了，这个等会解决。现在解决账号锁定机制，这个机制更好解决，但是就得看运气了。在选择爆破模式的时候选择一对一爆破（音叉模式）。字典选择模式有四种，如下图，从上到下分别为：1、一个爆破点，使用一个字典。2、两个爆破点，使用同一个字典，ps:该模式虽只有一个字典，但是是一对多模式，也就是说第一个爆破点选了字典中的第一个值，那么第二个爆破点就是字典里的所有值。3、两个爆破点，两个字典，ps：两个字典为一对一，第一个爆破点的第一个值对应第二个爆破点的第一个值，依次匹配。4、两个爆破点，两个字典，ps：一对多，第一个爆破点的第一个值对应第二个爆破点的整张字典。

实战弱口令爆破-图形验证码绕过