前言
免责声明
1 | 以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。 |
1 | 弱口令即是最好挖掘也是最难挖掘的漏洞(考验的是信息收集能力),但是能用弱口令进入系统,也是最容易拿到权限,来为自己后续进行渗透测试提供了遍历的条件,当然切记要守法. |
挖洞公式
1 | 运气+长期积累+感想敢做+耐心+细心 |
漏洞介绍
弱口令漏洞是由于使用简单或容易猜测的密码而引起的安全缺陷,它使得攻击者能够通过轻易暴力破解密码,进行登录后台或者用户从而获得未授权访问权限,可能导致数据泄露和接管后台系统等其他安全事件,简单来说,拿到对应权限的账号,从而能够进行操作和使用的权限越大,例如拿到管理员账号还不是想做什么就做什么。
漏洞详情
1 | 当然进入正题之前,还是要进行一定的学习的,毕竟只进行无脑的操作是无法提升技术的,不然就会成功脚本小子了,会影响自己进步的速度,懂原理,才能更好的学习和为自己提供更多新的思路去操作和使用,这里因为信息收集的方式还是很多的,我们为了效率来说,当然使用的是最方便的方式进行信息搜集. |
如何进行信息收集(最快捷)
下面这段话,主要是讲述,为什么去收集,以及怎么收集,一步一步的推理,才不会打偏,白费功夫.
1 | 为了找到更加脆弱的资产呢,后台系统是拿到弱口令,即危害大,又容易利用的最佳资产,因此我们主要锁定的是后台,当然既然有后台,那么看一下后台,一般后台无非就是: 登录|注册|忘记密吗 这三个主要的功能点,也是最基础的Web资产,如果你收集后台的资产比较多了后,就会发现,不同资产有不同的title名称,例如XX管理系统,XX文档管理系统 |
方法1(Google Hacking)
0x01 常见Google语法
关键字 | 说明 |
---|---|
site | 指定域名 例如eud.cn 页面会筛选出都为edu.cn的教育网站 |
intext(body) | 正文存在指定关键字的网页 在index.html或是php/asp/jsp等主页面的源代码中含有搜索关键词的网站筛选出来 |
intitle | 标题存在指定关键字的网页 也就是网页的标题处 |
info | 显示该网页的基本信息(显示java编程语言的摘要信息)info Python programming language 目前还不是很清楚这个语法的作用,目前测试感觉比intext的作用更好 |
inurl | URL存在指定关键字的网页(例如狮子鱼cms): inurl: “/seller.php?s=/Public/login” |
fileype | 搜索指定文件类型的网页 xls/pdf/xlsx/txt等 主要作用是收集身体证,学号等信息 |
使用方法很简单:关键字: + 域名||是文件类型||URL特征等,下面是示例:
1 | site:eud.cn |
0x02 不是经常用的关键字
1 | 这些关键词,在日常的渗透过程的信息收集中,不是很常用,但是还是在某些特定环境下可以使用的,如果有需要的话可以自行查看和搜索使用方法. |
关键字 | 说明 |
---|---|
Intitle、Allintitle | 在标题中搜索 |
Related | 显示相关站点 |
Phonebook | 搜索电话列表 |
Filetype | 搜索制定类型的文件 |
Rphonebook | 搜索住宅电话列表 |
Allintext | 在网页内容里查找字符串 |
Bphonebook | 商业电话列表 |
Author | 搜索Google中新闻组帖子的作者 |
Link | 搜索与当前网页存在链接的网页(不能与其他操作符或搜索关键字混合使用) |
Group | 搜索Google标题 |
Inanchor | 在链接文本中查找文本 |
Masgid | 通过消息id来查找谷歌的帖子 |
Daterange | 查找某个特定日期范围内发布的网页 |
Insubject | 搜索Googlegroup的主题行 |
Cache | 显示网页的缓存版本 |
Stocks | 搜索股票信息 |
Define | 显示某术语的定义 |
Numrang | 搜索数字需要两个参数一个最小数,一个最大数,用破折号隔开 |
当然google也为我们提供了很方便的其他的符号,便于我们进行进一步的信息收集
0x03 特殊符号使用
1 | 这些符号使用起来也很简单,只要在使用中需要时加入即可 |
关键字 | 说明 |
---|---|
+ | 加入被忽略的词 例如搜索某个域名下的身份证和学号 site:xxx.edu.cn filetype:xlsx +身份证号 + 学号 |
- | 忽略某个词 例如说搜索site:edu.cn -www 可以排除主域的域名,找脆弱资产,主站一般很难进入,找不含主站的薄弱资产 |
~ | 同意词。单一的通配符 没用过 |
* | 通配符,可代表多个字母 这个就和sql语法的*号类似 例如 site: *.edu.cn 就会匹配出 xxx.eud.cn的子域名出来 ,类似与 *.管理系统 就会匹配出 志愿管理系统,档案管理系统等这些系统出来 |
“” | 精确查询 这个很好用 site:edu.cn “身份证” 就会精准查询含有身份证词的域名,当然现在也是很难了,都被大佬们轮了好多遍了 |
0x04 布尔操作
1 | 布尔操作就是,如果我们需要多个关键词一起使用的话,就需要使用这些布尔操作的词进行操作 |
关键字 | 说明 |
---|---|
and | 与 |
or | 或 |
not | 不 |
0x05注意事项
1.操作符、冒号、关键字之间是没有空格的。
2.布尔操作符(AND、OR、NOT)和特殊字符(-、+)仍可用作高级操作符查询,但是不能把他
们放在冒号之前而把冒号和操作符分开。
3.高级操作符能够和单独的查询混合使用
ALL操作符(以ALL开头的操作符)非常古怪。一般情况下,一个查询中只能使用一次ALL操作
符,而且不能和其他操作符混用
0x06 使用例子(组合式)
1 | 下面是一些我经常使用例子,方便大家更好的学习和使用,当然也是我的一些总结,你可以直接进行搜集尝试,说是说不明白的,直接尝试一看就懂. |
0x06.1 例子一
site:edu.cn intitle:后台
搜索出所有edu.cn域名下网页标题存在后台的URL
0x06.2 例子二
inurl:www.baidu.com intext:安全
搜索出URL存在www.baidu.com网页文字中存在安全的URL
0x06.3 例子三
inurl:www.baidu.com filetype:jsp
搜索出URL包含www.baidu.com文件类型为**jsp**的URL
0x06.4 例子4-子域名排除
site:baidu.com -site:www.baidu.com
搜索baidu.com域名信息并且排除某个www.baidu.com这个域名的信息
0x06.5 例子5-找注入
site:qq.com inurl:?id=1 filetype:php
查找qq域名下面url带“?id”的并且是php后缀的url
0x06.6 例子6-找目录遍历
Intext:”index of”
Intext:”index of” intitle:”index of”
Intext:”Parent Directory” intitle:”index of”
0x06.7 例子7-找泄露
Filetype:txt intext:用户名 and 密码
Filetype:txt intext:username and password
查找所有类型为txt 并且内容带有“intext”语法的数据
0x06.8 例子8-找指定端口网站
Inurl:6379 -intext:6379
查找url中带6379 并且正文不存在6379这个字眼的网站
0x06.9 例子9-搜索web信息
site:qq.com inurl:manage
http://apps.game.qq.com/cmsmanage/vip/index.shtml 找到的例子
site:qq.com intext:管理|后 台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:qq.com inurl:login|admin|manage|manager|admin_login|login_admin|system
查询网页标题含有intext关键词并且为php后缀的网站
0x06.10 例子10-取某个网站邮箱或电话
site:xxxx.com intext:*@xxxx.com
site:xxxx.com intext:电话
不同搜索引擎的区别
1 | 当然有了搜索语法,但是搜索平台还是很重要的,用google搜索需要科学上网,当然也还有其他的可以进行替代的搜索引擎,但是效果确实会差一些,下面的图片能够狠清晰的看出区别. |
这里分享一个大佬的谷歌捡洞语法,过期了,可以进行评论,或是私聊我都可以
https://f.ws59.cn/f/dtfx09m4fpt
方法2(资产测绘平台)
fofa
网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统
1 | 网安届资产测绘国内的开山鼻祖,基本是上是最好用的,但是自从可以获得永久fofa高级会员的活动结束后,一个fofa高级被炒到了几万无货,想测出更多资产只能使用可以调用fofa接口的工具,去某鱼租一个月一个月的高级账号,好用是好用,但是小白是真的用不起,我基本就是fofa搜集到用鹰图进一步搜索,偶尔租个会员去一次搜集想搜集的资产. |
1 | fofa搜索: title="管理后台" && country="CN" |
1 | 这里就可以通过改进搜索xx管理后台,然后配合fofa自己的很多语法进行搜集,基本和google语法一致,可以搭配进行使用,如果想进行更多的收集测试,可以通过查看示例和去搜集和学习别人的语法,然后进行改进,变成自己的东西. |
1 | 1、title="后台管理" 搜索页面标题中含有“后台管理”关键词的网站和IP |
这里也分享一个我的初学时的fofa珍藏宝典吧,当然下面的语法,有的也就乐呵乐呵,不可能是真的,也就提供一下,fofa进行信息搜集的思路吧.
https://f.ws59.cn/f/dtg5x0ar98w
鹰图
1 | 不得不说,如果fofa是鼻祖的话,那么鹰图就是穷比白嫖和使用的最佳平台了,相比fofa,来说鹰图每天都有500查询点,可以查询按照资产导出,也可以注册多个账号换着来,你懂得,当然有些方式还是和fofa的会员付费用的点数才能查询一样,但是影响不大,毕竟都白嫖了,还要什么自行车呢. |
这个是我之前测过的一个语句,可以通过换一些查询方式来获得更多的资产
1 | ip.isp="教育"&&(web.body="登录页面"||web.title="后台管理") 4000多条资产 |
如果需要挖掘教育SRC的话,这里分享一个大佬团队的信息收集思路文档,帮助大家进行开放思路,提高自己的信息收集能力
https://f.ws59.cn/f/dtfy4exdgie
如何进行利用
搜集完后,进入页面,看见登录框,就是一波弱口令,通常没有验证码的,更容易弱口令进去,当然有也不要怕,还是有几率出的,毕竟人嘛,要么懒,要么疏忽,还有一种方式就是因为初始密码看着感觉很复杂就不改了,也是一种原因
密码总结无非就是几种:
1 | 1.弱密码:简单来说就是很像123456这种,输入密码的时候懒得或是种种原因,系统也没有限制就写成简单的密码了,可以进行burp或是其他工具进行爆破,当然这种方式一般需要换代理ip,爆破一般ip容易被扳的 |
1 | admin/admin admin/123456 admin/admin123 admin/admin666 admin/admin888 还有就是搜索系统看有没有默认密码,或是管理手册中是否含有 如果都没有的话,那就溜吧,小白不适合进一步了 |
案例分享
1 | 其实通过案例的分享,相信也能看出来弱口令就是那几个,这样的资产也是有很多的,但是主要还是看你能否搜集到不重复的,也就是别人没找到的资产 |
案例1:某志愿管理系统
其实熟悉和测试多了登录页面的人应该很熟悉这个页面,一看就是若依的,这个系统也是算是一个高危吧,里面有440个社区的管理,几千条敏感信息数据.
弱口令: admin/admin123
前台页面
后台页面
案例2:某游戏管理平台
这个页面也就常规吧,当时是通过一个ico的hash值搜索到的资产,前台平平无奇,后台是个看上去应该是小游戏的管理之类的
弱口令: admin/admin
前台页面
后台页面
案例3:某餐饮管理平台
这个平台也就普普通通的存在验证码,还是存在漏洞,今天复测的时候,发现修复了,应该是有人交了吧,然后修复了,可惜给大家看不到后台了.
弱口令: admin/admin
前台页面
1 | 剩下的几个都是设备为锐捷网络的,我最近因为拿了RCE漏洞系统,于是进行了尝试,虽然还是拿到了几个RCE,但是没有ip没有备案,不能提交也是很遗憾的,但是还是更加熟系了这套系统的其他类型的资产,方便后续测试中,有可能遇到而进一步测试,当然下面的也不用打码了,因为有很多资产都是这个页面,谁也分辨不出来. |
下面的资产就是我说的设备的出厂时的默认密码为admin
案例4:RG交换机
锐捷网络产生开发的物理网设备,其实后台应该也是有一个RCE的,但是也没必要测了,但是进入后台,就可能这个设备的信息就知道,这个危害是非常大的,对公司的影响巨大.
弱口令: admin/admin
前台页面
后台页面
案例5:RG-WALL WEB管理系统
看看危害大不,防火墙一关,系统设置一改,不知道会造成多大的危害,所以,管理员还是要做好防护工作,注意弱口令
弱口令: admin/admin
前台页面
后台页面
案例6:睿易交换机
这个就不贴后台的图片了,睿易系列就是上面的RG交换机系列的,后台功能都一模一样
弱口令: admin/admin
前台页面
总结
其实对于弱口令挖掘来说,最基础的就是尝试弱口令,当然如果要进行进一步测试的话,爆破密码只是很简单的一只种,还可以通过在各种例如抖音,小红书,甚至QQ群,公众号等进行身份证,学号等信息搜集,当然如果在允许情况下,也可以进行社工获得一些账号密码,尝试进行进一步测试(切记要合法).
当然弱口令也是一种磨练耐心的一种方式吧,我刚开始时,一周内测试了1万多个网站吧,就是为了尝试弱口令,现在想来当时不懂,现在知道了应该是搜索时,还是使用的是别人用过的语法吧,战果可怜也就测出来几十个,能交教育的也没几个.
要说这个是无脑吧,确实是,但是还是看你是否能坚持下去,因为在测试中,测不出来的时候你会很想放弃,也不知道是什么让我坚持过去了,也见识了各种各样的系统和资产,熟悉了各种资产和厂商的资产,看到一个网站就大概知道是什么系统的,或是什么cms的,大概可能有什么漏洞,为后续技术的提升以及挖到高危漏洞,提供了很多便捷.
其实最大的收获可能就是让我知道了,不提升技术,就会很难挖到漏洞,现在的环境对于小白的要求越来越高了,上山的路会越来越窄,但路上的人也会越少.达到一定程度时,也就很容易挖到洞了,报告写到你吐.
1 | 运气+长期积累+感想敢做+耐心+细心 |
评论区
欢迎你留下宝贵的意见,昵称输入QQ号会显示QQ头像哦~