渗透实战 | 弱口令漏洞

admin 2024年8月5日14:27:31评论205 views字数 1407阅读4分41秒阅读模式

渗透实战 | 弱口令漏洞

免责声明:本公众号发布的文章均为作者根据互联网资源总结的学习笔记,文末已注明引用文章出处,若有无意侵权或转载不当之处请联系我们处理,谢谢合作! 


一.漏洞背景

账号口令被认为是网络安全的第一道防线,尽管身份认证技术在不断演进,但企业的账号口令不会消失。每个组织都存在不同程度的弱口令,无论我们在安全防护上投入了多大的人力物力,攻击者都可能通过弱口令进行攻击。根据数据显示,在众多攻击手段中,利用弱口令攻击的占比高达70%。

二.测试方法

1、未进行JS加密暴力破解
如果前端未采用JS加密,我想大家都知道如何进行暴力破解,以下我们以burpsuite爆破为例说明
①抓包
渗透实战 | 弱口令漏洞
②发送到intruder模块
渗透实战 | 弱口令漏洞
③标记爆破参数
渗透实战 | 弱口令漏洞
④加载payloads字典渗透实战 | 弱口令漏洞
⑤开始测试
渗透实战 | 弱口令漏洞
可根据返回包长度并查看返回包内容,确定爆破成功的密码。
注:Burpsuite 的 Intruder模块包含Sniper、Battering ram、Pitchfork、Cluster bomb等四种攻击类型,在不同的场景下可选用不同的攻击类型,此文不详细展开描述,可参考burp使用教程| BurpSuite 基本使用之暴力破解等文章。
2、前端采用JS加密暴力破解
但在实战环境中,我们经常遇到前端采用JS加密,无法准确识别账号、密码参数的情况,导致无从下手,亦或是要分析它的前端JS代码看账号密码的具体加密方式以及公钥key,增加时间成本。所以今天分享一款工具,该工具通过模拟浏览器调用JS来直接写入账号密码进行请求,来快速达到测试效果。
①工具简介:
工具地址:https://github.com/gubeihc/blasting
工具优势:
  • 优点1:针对网站后台用户名密码加密无需分析js即可爆破请求。
  • 优点2:采用通用特征方式识别用户名和密码进行提交请求。
  • 优点3:通过内置大佬ddddocr库可以进行存在验证码后台爆破。
  • 优点4:通过监听请求数据可以做到验证码错误重试功能。
  • 优点5:可以对大量不同登录系统进行批量爆破测试并截图。
②工具安装
python  pip  install  -r  .requirements.txt //安装依赖python -m playwright install  //安装浏览器python  .BLAST.py  //启动工具
启动工具后界面为
渗透实战 | 弱口令漏洞
  • 爆破模式包含:自动模式、手动模式(xpath匹配模式)、cdp断点模式
  • 爆破手段包含sniper:狙击手、ram:攻城锤、fork:草叉模式、bomb:集束炸弹
③工具使用
  • 自动模式
直接填上url地址即可,选择所需模式输入账号密码即可爆破
渗透实战 | 弱口令漏洞根据响应包长度大小来进行判断是否成功
注:如果爆破不了的话要打开浏览器开关
  • 手动模式
填写xpath就可以了
渗透实战 | 弱口令漏洞
例如账户字段 打开浏览器开发者模式--直接选择--复制--Xpath
渗透实战 | 弱口令漏洞
通过模拟浏览器调用JS来直接写入账号密码进行请求,无需进行抓包、改包的操作,极大的减少因JS加密带来的干扰。

三.总结

弱口令是安全行业经久不衰的话题,每次攻防演练因为弱口令问题导致失分的企业数不胜数,需要解决弱口令问题还是需要从技术和管理两方面下手
技术方面:满足等级保护三级要求,通过多因素进行认证,密码要求满足复杂度要求,90天进行定期更换,设置登录失败处理策略;
管理方面:设置严格的口令管理制度,严格要求员工口令的复杂度和定期更换时间,加强日常安全意识教育,提高员工安全意识。
    渗透实战 | 弱口令漏洞

渗透实战 | 弱口令漏洞

原文始发于微信公众号(Sec Online):渗透实战 | 弱口令漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日14:27:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透实战 | 弱口令漏洞https://cn-sec.com/archives/2034974.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息