123456,芝麻开门——浅谈弱口令的危害

admin
admin
admin
104960
文章
87
评论
2022年4月1日11:18:26评论211 views字数 2424阅读8分4秒阅读模式
故事要从一次艰难的渗透测试说起(以下案例均为授权测试),实践证明,要想进行一次完美的渗透,网站漏洞跟弱口令更配!


千里百科
通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令

常见弱口令有:
1、数字或字母连排或混排,键盘字母连排(如:123456,abcdef,123abc,qwerty,1qaz2wsx 等);
2、生日,姓名+生日(利用社工非常容易被破解);
3、短语密码(如:5201314,woaini1314 等)。
弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。
故事背景
这是一个强大的订票系统,拥有 20w 注册用户!

第一步 取数据
网站存在严重的SQL注入漏洞,但是却无法完整的拖取整个数据库,一直卡在“探测到大量的响应结果,请稍等一会”。于是,我等了一天,没有任何结果返回!!!
123456,芝麻开门——浅谈弱口令的危害
第二天,我把数据取出来了,分别拖出 20w 用户名和 20w 密码,而且每列取出来的数据是按字母和数字顺序正序排列好的,账号和密码完全无法匹配。
123456,芝麻开门——浅谈弱口令的危害

第二步 匹配数据
换个思路试试,上网页上看看,说不定会有新发现。工具不靠谱,只能靠我聪明的小脑瓜。先注册个账号:123456/123456, 在网页上进行手工注入,用户名曝密码

union select Customer_Password  from customer where Customer_UserName = "123456"--

123456,芝麻开门——浅谈弱口令的危害

有数据返回!这样的话写个脚本遍历一下用户名就可以匹配到相应的密码,我真是太聪明了。

我的密码是 123456,然而加密后变成 7c1b80fe3ef17dc0,虽然是 16 位,但并不是常见的 MD5 加密,可见管理员心思很别致,竟然用自定义加密方法,试了多个,依然无法识别
123456,芝麻开门——浅谈弱口令的危害

第三部  解密数据
得到 20w 无法解密的数据,对网站的实际作用为零。再换个思路想一想,我的密码是 123456,那是因为我比较懒,但是我肯定不是最懒的,鉴于人们的惰性思维,弱密码肯定很多,用密码来找用户好了,先试一试万能的 123456,密文是 7c1b80fe3ef17dc0
union select  Customer_UserName from customer where Customer_Password = "7c1b80fe3ef17dc0"--

一股洪荒之力喷涌而出,即使是我读书多,见识广,也着实受到了惊吓,粗统计一下,共有 2855 个用户使用 “123456” 作为密码!
123456,芝麻开门——浅谈弱口令的危害

再试试我大天朝人民最喜欢的 888888666666 ,得到的用户名分别有 13372 个和 80 个,看来由于文化差异造成对数字的喜好差别还是很大的。上网搜索一下网站当地人民最喜欢的幸运数字,果然是 8。记得 2015 年公布过最弱密码排行榜,现在取前 15 名进行对比(此网站要求密码 6-18 位,不在此范围的密码不参与评比)
123456,芝麻开门——浅谈弱口令的危害
由此看来,受世界欢迎的弱密码并不适用于中国国情,更不试用于地域民俗文化差异巨大的各省人民。

就该网站为试验点,调查当地人民弱密码缺省普遍性,以下给出前十名:
123456,芝麻开门——浅谈弱口令的危害
世界排名第二的 password 并没有受到国人的追捧,在网站测试中发现只有 9 个人使用 password 作为密码,国人最爱的弱密码还是连号数字以及幸运数字的叠加

通过这种方法,我利用常见弱密码猜解到了将近一半用户的密码,随便登录试试就可以看到大量的车票、机票、酒店订单。网站内包含的信息量远远大于 20w,个人信息泄露情况非常严重。
弱口令案例梳理
这个案例让我想起了 2015 年春运前夕震惊全国的 12306 数据泄露事件,传闻称黑客利用“撞库”手段获取 131653 条用户数据。通过对网络公开的泄露数据进行分析发现,弱密码无论在任何泄密事件中都具有举足轻重的地位,以下是安全爱好者对 12306 泄露密码的统计结果:
123456,芝麻开门——浅谈弱口令的危害
其中,密码中包含有 123 数字的,出现 11213 次 ;密码中包含有 520 数字的,出现 4549 次 ;密码中包含有 123456 数字的,出现 3236 次 ;密码中包含有 1314 数字的,出现 3113 次 ;密码中包含有 aini 的,出现 877 次。

如果说个人用户使用弱口令做密码祸不及他人,那么管理者使用弱口令做密码造成的群体性危害又将由谁买单?

千里目安全实验室成立以来,发现多起群体性危害事件都是由弱口令导致。12月份,千里目安全实验室检测到某省大量政府网站使用动易建站系统,该系统后台登录使用弱口令 Admin/admin888 作为管理员默认账户,经过确认,共有 28 家政府网站管理员未更改原始账号密码,并且将近一半网站已被入侵,管理员头像遭篡改,并以管理员身份发表测试文章。
123456,芝麻开门——浅谈弱口令的危害

今年 1 月份,某省级信息组织管理网站,因某管理者使用 123456 弱口令作为密码,不仅造成该管理人员所在组织内部人员信息全部泄露,结合网站其他漏洞进行利用,可导致全网站 72w 组织成员身份证号,联系方式,家庭住址等信息全部泄露。
123456,芝麻开门——浅谈弱口令的危害

搜索 wooyun 漏洞公开平台,由弱口令引发的信息泄露事件每天都在上演,您的信息在不经意间已被多次倒卖。经常收到垃圾短信或者推销电话就是强有力的证明。不论是个人还是管理者,使用弱口令做密码都是及其不负责任的表现。
123456,芝麻开门——浅谈弱口令的危害
安全建议
1、针对管理人员,应强制其账号密码强度必须达到一定的级别;
2、建议密码长度不少于 8 位,且密码中至少包含数字、字母和符号;
3、不同网站应使用不同的密码,以免遭受“撞库攻击”;
4、避免使用生日,姓名等信息做密码,远离社工危害。

本次研究结果仅供参考,存在漏洞的网站已经及时上报相关单位进行修复。对于使用弱密码的用户,我只想说,赶快改密码吧,你们的秘密已经被我发现了!那么什么才是强密码呢,像我这样,密码长度不少于8位,且密码中至少包含数字、字母和符号,S4ngF0r@Qiqi#(sangfor@qiqi#),多么完美的密码!


123456,芝麻开门——浅谈弱口令的危害



123456,芝麻开门——浅谈弱口令的危害

原文始发于微信公众号(深信服千里目安全实验室):123456,芝麻开门——浅谈弱口令的危害

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日11:18:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   123456,芝麻开门——浅谈弱口令的危害https://cn-sec.com/archives/785774.html

发表评论

匿名网友 填写信息