渗透实战 | 弱口令漏洞

admin

142269
文章

117
评论

2024年8月5日14:27:31评论227 views字数 1407阅读4分41秒阅读模式

渗透实战 | 弱口令漏洞

免责声明：本公众号发布的文章均为作者根据互联网资源总结的学习笔记，文末已注明引用文章出处，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

一.漏洞背景

账号口令被认为是网络安全的第一道防线，尽管身份认证技术在不断演进，但企业的账号口令不会消失。每个组织都存在不同程度的弱口令，无论我们在安全防护上投入了多大的人力物力，攻击者都可能通过弱口令进行攻击。根据数据显示，在众多攻击手段中，利用弱口令攻击的占比高达70%。

二.测试方法

1、未进行JS加密暴力破解

如果前端未采用JS加密，我想大家都知道如何进行暴力破解，以下我们以burpsuite爆破为例说明

①抓包

②发送到intruder模块

③标记爆破参数

④加载payloads字典渗透实战 | 弱口令漏洞

⑤开始测试

可根据返回包长度并查看返回包内容，确定爆破成功的密码。

注：Burpsuite 的 Intruder模块包含Sniper、Battering ram、Pitchfork、Cluster bomb等四种攻击类型，在不同的场景下可选用不同的攻击类型，此文不详细展开描述，可参考burp使用教程| BurpSuite 基本使用之暴力破解等文章。

2、前端采用JS加密暴力破解

但在实战环境中，我们经常遇到前端采用JS加密，无法准确识别账号、密码参数的情况，导致无从下手，亦或是要分析它的前端JS代码看账号密码的具体加密方式以及公钥key，增加时间成本。所以今天分享一款工具，该工具通过模拟浏览器调用JS来直接写入账号密码进行请求，来快速达到测试效果。

①工具简介：

工具地址：https://github.com/gubeihc/blasting

工具优势：

优点1：针对网站后台用户名密码加密无需分析js即可爆破请求。
优点2：采用通用特征方式识别用户名和密码进行提交请求。
优点3：通过内置大佬ddddocr库可以进行存在验证码后台爆破。
优点4：通过监听请求数据可以做到验证码错误重试功能。
优点5：可以对大量不同登录系统进行批量爆破测试并截图。

②工具安装

python  pip  install  -r  .requirements.txt //安装依赖python -m playwright install  //安装浏览器python  .BLAST.py  //启动工具

启动工具后界面为

爆破模式包含：自动模式、手动模式（xpath匹配模式）、cdp断点模式
爆破手段包含：sniper:狙击手、ram:攻城锤、fork:草叉模式、bomb:集束炸弹

③工具使用

自动模式

直接填上url地址即可,选择所需模式输入账号密码即可爆破

根据响应包长度大小来进行判断是否成功

注：如果爆破不了的话要打开浏览器开关

手动模式

填写xpath就可以了

例如账户字段打开浏览器开发者模式--直接选择--复制--Xpath

通过模拟浏览器调用JS来直接写入账号密码进行请求，无需进行抓包、改包的操作，极大的减少因JS加密带来的干扰。

三.总结

弱口令是安全行业经久不衰的话题，每次攻防演练因为弱口令问题导致失分的企业数不胜数，需要解决弱口令问题还是需要从技术和管理两方面下手

技术方面：满足等级保护三级要求，通过多因素进行认证，密码要求满足复杂度要求，90天进行定期更换，设置登录失败处理策略；

管理方面：设置严格的口令管理制度，严格要求员工口令的复杂度和定期更换时间，加强日常安全意识教育，提高员工安全意识。

原文始发于微信公众号（Sec Online）：渗透实战 | 弱口令漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

渗透实战 | 弱口令漏洞

应急响应-爆破事件与隧道流量

巧妙利用参数污染进行sql注入

Ghostly Reflective PE Loader — 如何让现有的远程进程在其自身中注入 PE

Wallaby's Nightmare靶机详解

SPL与Flink功能对比分析

Word文档宏病毒感染事件：应急处置与深度分析

漏洞分析指南：开源软件漏洞深度分析与实战复现

PDF关键字命中测试脚本

实战渗透某大型彩票赌博网站以及产业链分析

随机实验AA问题的，破解之道

发表评论

在线咨询

微信