前言
它山之石,可以攻玉。DSRC课程会定期邀请一些嘉宾进行安全技术分享,希望大家在切磋交流的同时,有所收获不断进步。
本期嘉宾
土夫子-DSRC榜首白帽,低调谦和帅锅一枚,尤其擅长爆破和逻辑漏洞挖掘。本期DSRC课程,很荣幸邀请到了土夫子,为大家进行爆破技术分享。
相对于xss、sql注入、二进制,爆破学习门槛更低,实施成本更容易,这也是爆破的魅力之一。接下来夫子就和大家分享一下关于爆破的那点事,如有遗漏、描述不当之处,感谢师傅们文章底部留言交流。以下是分享框架:
一、漏斗流程
很多时候,无论是对第三方做授权渗透测试,还是对自己公司业务做测试,我们都无法拿到精准的账号,这个时候就需要安全人员自己去想办法获取精准的账号列表。
如何获取呢?在我看来,获取精准的账号列表,如漏斗形式一样,都是由大到小
“1000万用户名测试-->经过验证100万账号真实存在-->1万个账号成功登录”。
首选要做的第一步就是验证账号是否存在,一般我的思路是拿一个几百万的拼音用户名字典去挂载到burp扫描,然后观察http返回状态码。
拿到精准账号列表后,再进行进一步测试,观察密码规则。
拿一个存在账号登录,观察是否要求使用特殊字符/数字/密码位数;
观察账号锁定机制,同一个账号输入密码多少次会被锁定,锁定时间是多少。
二、账号是否存在
获取一个系统或者一个公司的精准账号列表,途径多种多样,一般包括如下几个方面:
邮箱:现在无论是市面上的企业邮箱,还是公司内部自建的OWA,几乎都能通过大型用户名字典撞库确定存在用户名。
公司系统:
夫子主要通过三种途径发现公司系统。
1、子域名爆破,通过子域名爆破的方式获取公司存在域名,得知系统用途;
2、搜索引擎,如搜索引擎下的site命令使用,获取指定域名下的子域名,该命令除了能给你提供大量子域名,还能给你发现系统未授权的惊喜;
3、网页title获取,说简单点,就是扫描一个公司整个网站所在网段ip的开放端口,然后通过脚本去跑一下所有开放端口web页面名称,不要小看这个功能,很多公司的后台、测试后台,都是通过ip+特殊端口直接对外提供服务的。通过这三点找到系统后,都可以验证哪些账号存在。
第三方业务平台:
举个很简单的例子,hr都给自己员工在某订餐平台开启了账号,以便实现自助订餐,使用的均为公司邮箱。假如,恰好订餐平台登录时web页面直接提示账号不存在,由此我们是不是可以轻而易举的获取到hr公司的员工账号列表了?!
其它业务接口:
如app内嵌的一些后台、h5页面,笔者在进行授权安全测试的时候就经常碰到这类问题,pc版本的页面无懈可击,但是用手机浏览器访问同一后台时就被自动适配到了h5页面,h5页面没有任何认证安全防护措施(多数无验证码、任意破解)。
三、用户名字典
用户名字典比较庞大,一般分为如下几类:
常用姓名top100w的拼音、lyy(三位26个字母组合)、liyy(姓氏排行top100的拼音+26字母)、liyy01、bjliyy、bjliming。
最近几年由于app发展的火热,导致很多app注册时使用手机号作为唯一账号登录,所以手机号也是用户名字典。
四、密码字典
键盘习惯:如1qaz2wsx、1qaz@WSX、1234qwer
企业域名+数字:
google123、google@123、google.com@123 、Google@123
姓名123组合:
如liyy123、liyy@123、liming@123!
hash值:
比如密码123456的md5或base64值
已公开泄露的密码库:
这个很容易理解,不少被泄露出来的密码库。
五、如何防止破解
WAF:能有效的防止扫描频率
验证码/二次验证:
系统登录接口处增加签名、验证码等功能
内部定期扫描:
定期对内部系统、数据库表中密码字段弱口令扫描
域名定期导出扫描:
定期从dns处导出域名,观察有无新后台上线
后记:土夫子下期滴滴专稿内容预告——《逻辑至上》。