一个月之前我提交了两个网站(都隶属于国家部门)的漏洞,很久没写渗透测试的文章了,冒着被抓的风险把渗透过程拿出来记录一下
图片肯定是要打码的,不然网警很快就来了.....
起因
一个月前,翻微信朋友圈的时候看到一条内容,xx市xx局举办xx活动,然后我点进去,进入了一个网站,是这个xx局的官网。当时我观察了一下发现这个网站感觉存在很多漏洞,于是就想试一下看能不能渗透进去。
渗透过程
我首先利用Google Hack语法找到他们的网站登陆后台地址
这网站隐蔽的倒是挺好,因为他的URL不是域名是IP:端口的形式,所以通过官网基本上不可能找到后台,但是百密一疏啊,你都搞成IP:端口的形式了,为什么不设置只能内网访问呢?
右下角忘记密码实在是太醒目了,简直就是诱惑别人来渗透一样
随便点一个方式找回密码试试
我当然不是要找回密码,我是想测试到底存不存在用户名为admin
的用户,没想到存在,直接就进入验证问题的界面了,那么现在得到一个信息,就是存在用户名为admin
的用户
首先审查一下网页源码,这里就不放图了,因为并没有什么可疑的地方
然后随便输入用户名密码进行登陆一下,主要是观察URL,看传输方式是get还是post
得到传输方式是post,那接下来就抓个包看看。下面打红框的地方就是post传输的参数
将捕获的数据包发送到Repeater中再次审查一下源码,看有没有什么暴露出来的东西
仔细观察过后还是没有什么有用的信息。到这基本上已经没什么办法了,只能看还有没有别的漏洞,但是我突然想起来,既然我已经得到用户名是admin
,如果我再能社工到找个人的相关信息,生成密码字典,跑一下应该就能得到密码了
社工学不在这里讲,此处省略一万字。各种社工网站都快被我用烂了,终于搜集到了这个人的一些信息,然后生成一下字典
拿到Burp里面跑一下字典,先设置密码为变量
等字典跑完,看结果就知道密码是什么了
后续
一个月前,我爆破出了密码是xxxxxx,提交了漏洞,密码改了,但是我写这篇文章的时候又爆破进去了,我服了,真该把这些网站管理员开除了,天天拿工资,不干正事,连网站安全性都保证不了。
哇。。。确实,提交了一个月的漏洞还不修改,这就很有问题了。而且只是改密码这么简单的事。。