官方出会议总结啦!11月26号晚举行的第十七期「听火」线上会议沙龙高能不断。会议分享嘉宾为:303,分享议题为:看似朴实无华的弱口令。
引言
大家觉得在登录功能中常见的漏洞有哪些?常见的漏洞有:未授权访问、SQL注入、任意用户注册、XSS漏洞、弱口令等等。在众多漏洞中,无论我们是做渗透还是当红队,弱口令打进目标不失是一种相对高效的途径,一些企业的员工在设置口令时,可能会涉及自己相关的一些信息,此时我们可以去生成相应的字典,利用爆破获取口令,从而通过SSO统一登录系统进行内网漫游。据奇安信统计,通过脆弱口令获得权限的情况占据90%以上。
接下来灵魂拷问(っ °Д °😉っ:为什么新手小白就很少碰到弱口令呢?
开始正题
👏弱口令的小规律
1、常见的一些管理系统的用户名,常见的有:root、test、admin、guest。Superadmin等。
2、很多开发者为了测试方便,所选用的测试手机号可能为:18888888888、18899999999等;此时我们便可以采用爆破操作。若爆破时存在验证码,也不要轻易放弃噢!因为有些开发可能为了方便,可能会设置一些万能验证码,例如:四位数的时候,设置四个零是万能的,六位数可能是六个零。
3、公司缩写也很常见,一些企业为了方便管理,可能有统一的账号,此时可能采用公司名的缩写,例如:百度可能是baidu或BD等形式。
4、学号和内部员工编号也是有迹可循。学号比较大的可能性是你的入学年份加上一系列编号;内部的工号可能与隶属部门关联,例如:领导可能是T。
......(下图已为各位小白以脑图的形式罗列出来啦)
👏用户名的获取途径
一、前人栽树,后人乘凉!
1、双手献上简单、常用爆破字典:https://github.com/fuzz-security/SuperWordlist/blob/master/Top20_Admin_Users.txt
2、国内拼音组合用户名常用字典,献上链接:https://github.com/TheKingOfDuck/fuzzDicts/tree/master/userNameDict
3、常见的测试手机号字典,献上链接:https://github.com/TheKingOfDuck/fuzzDicts/blob/master/
二、通过漏洞去搜集字典
1、如Gitlab里有API接口,可以去枚举用户名。我们便可通过批量去发送请求。如:从接口中我们获取到ID为78号的用户为李小龙,接着我们便可以批量遍历UID获取该网站的用户名,为后续操作做准备。
Jira 未经身份验证用户名枚举漏洞(CVE-2020-14181)也是可以达到类似效果噢!
2、利用登录、注册、密码找回等功能来枚举有效用户名。由于大部分公司的认证体系中的账号是通用的,即A接口中获取的账号在B接口也是可以用的,此时我们便可以利用登录等功能点的缺陷去收集用户字典。
三、Google Hacking
对于学校这样的目标有奇效!学校可能无意间将一些教职工工号、学生的学号等信息放在网上,我们便可利用语法去搜索,比如:txt、Excel等。
举个栗子~
四、特殊网站上搜索
1、https://grep.app/search?q=%40tesla.com,是一个集合了github具有搜索功能的网站,可以在这个网站上进行定向搜集。
2、部分专门做信息搜集的网站或者插件,推荐链接:
https://snov.io
https://chrome.google.com/webstore/detail/email-finder-by-snovio/einnffiilpmgldkapbikhkeicohlaapj
https://hunter.io/
https://phonebook.cz/
接着奏乐接着舞
对于弱口令专题,在会议之前也是发起了讨论,各位大佬们纷纷集思广益。
......
小小总结:
303师傅为各位大佬准备的一些小惊喜🎁
比较新的字典,yyds:https://nordpass.com/most-common-passwords-list/
设备的常用密码:https://github.com/insightglacier/Dictionary-Of-Pentesting/tree/master/Device
一出好戏
案例一:
303:我偶然发现该公司的小程序业务,在下图表单提交处抓包,意外发现了 https://test.xxxxx.com/tesla2018/.git,然后利用git信息泄露的脚本获取到了源码,在源码中找到了敏感信息(右侧图),尝试登录,成功,发现大量信息。
......
想了解更多内容,快来看看B站录屏吧:https://www.bilibili.com/video/BV13g411P7Um/
心动吗?那就赶紧来参加下一期【听火】沙龙吧!
