前不久接到朋友的寻求帮助(前提必须要有授权许可,可不能乱渗透测试),就是说有个站搞不了了,让我看看能否协助整一下;恰好近期应急处置结束了在看系统日志,看的有点苦恼,因此便接下了这一工作,提升点快乐。
网站信息收集,得到手的总体目标是一个ip地址加服务器端口的网站,一键复制到打开浏览器,能够 看见跳转至1个登录页,在分析登录界面时,发觉图片验证码可重复使用,以后应用burp重新上传几回post请求,获知同一个账户,登陆密码可无穷异常,这儿因为登录验证的缺点,造成 可实现账户密码暴破,好运气的情况下能够 进到后台管理;可是,暴破响动太大,会造成许多 系统日志,非常容易被发觉,更何况暴破后台管理须要相应的时长,现阶段处在搜集资产环节,简易检测好多个弱口令不成功后,继而寻找其他的有价值信息内容。
应用引擎简易检测了下服务器端口,发觉这一ip地址对外开放了许多 服务器端口,如3306,27017,6379,二十二这种,这儿简易考虑了一下下,能运用的服务器端口有Mysql数据,redis,mongodb,ssh也有某些https业务流程,这当中Mysql数据版本号为8.0.17,在这个版本号,系统漏洞或多或少都修补的差不多了,接下去试着mongodb未授权许可系统漏洞,不出所料,修复漏洞了;再试着弱口令相连接,也找不到,以后通过其他的信息收集技巧,临时对总体目标业务流程信息内容有了1个非常简单的认识,接着依然返回https业务流程,试着从web页面下手。
系统漏洞检测
之前在检测这种网站的过程中,发觉这一项目的运维特感兴趣应用网站名字加年代的组成动态口令;依据这一有价值信息内容,融合之前搜集到的历史账户密码和总体目标网站的有价值信息内容来产生一个小组成动态口令词典,接着再融合burp实现暴破,果不其然不一会儿,账户密码出来~~以后记录查询下账户密码,再次登录时,却发觉后台管理发生了这一状况,如下所示:此刻的第一反应是,网站会不会布署了waf,ip地址被禁了?接着应用手机移动网络点开也一样这样,之后找业务流程方了解了下状况,就是说不能用admin登录,要不然会发生异常。
综合检测后发掘存在的漏洞还不少,一些包含文件漏洞可以执行,直接上传脚本拿下了权限,至此结束,建议大家有需求对自己网站或APP进行全面的安全检测的话可以去网站安全公司那里去看看,国内做的比较专业的如SINESAFE,鹰盾安全,启明星辰等等。
来源:oschina
链接:https://my.oschina.net/u/3887295/blog/4336265