前言
版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_72543266/article/details/137504581
免责声明
以下漏洞均已经上报漏洞平台并已修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客,阿里云平台及本人无关。
弱口令即是最好挖掘也是最难挖掘的漏洞(考验的是信息收集能力),但是能用弱口令进入系统,也是最容易拿到权限,来为自己后续进行渗透测试提供了遍历的条件,当然切记要守法,为小白提供思路,大佬勿喷.
挖洞公式
运气+长期积累+感想敢做+耐心+细心
漏洞介绍
弱口令漏洞是由于使用简单或容易猜测的密码而引起的安全缺陷,它使得攻击者能够通过轻易暴力破解密码,进行登录后台或者用户从而获得未授权访问权限,可能导致数据泄露和接管后台系统等其他安全事件,简单来说,拿到对应权限的账号,从而能够进行操作和使用的权限越大,例如拿到管理员账号还不是想做什么就做什么。
漏洞详情
当然进入正题之前,还是要进行一定的学习的,毕竟只进行无脑的操作是无法提升技术的,不然就会成功脚本小子了,会影响自己进步的速度,懂原理,才能更好的学习和为自己提供更多新的思路去操作和使用,这里因为信息收集的方式还是很多的,我们为了效率来说,当然使用的是最方便的方式进行信息搜集.
如何进行信息收集(最快捷)
下面这段话,主要是讲述,为什么去收集,以及怎么收集,一步一步的推理,才不会打偏,白费功夫.
为了找到更加脆弱的资产呢,后台系统是拿到弱口令,即危害大,又容易利用的最佳资产,因此我们主要锁定的是后台,当然既然有后台,那么看一下后台,一般后台无非就是: 登录|注册|忘记密吗 这三个主要的功能点,也是最基础的Web资产,如果你收集后台的资产比较多了后,就会发现,不同资产有不同的title名称,例如XX管理系统,XX文档管理系统
方法1(Google Hacking)
0x01 常见Google语法
| 关键字 | 说明 |
| site | 指定域名 例如eud.cn 页面会筛选出都为edu.cn的教育网站 |
| intext(body) | 正文存在指定关键字的网页 在index.html或是php/asp/jsp等主页面的源代码中含有搜索关键词的网站筛选出来 |
| intitle | 标题存在指定关键字的网页 也就是网页的标题处 |
| info | 显示该网页的基本信息(显示java编程语言的摘要信息)info Python programming language 目前还不是很清楚这个语法的作用,目前测试感觉比intext的作用更好 |
| inurl | URL存在指定关键字的网页(例如狮子鱼cms): inurl: “/seller.php?s=/Public/login” |
| fileype | 搜索指定文件类型的网页 xls/pdf/xlsx/txt等 主要作用是收集身体证,学号等信息 |
使用方法很简单:关键字: + 域名||是文件类型||URL特征等,下面是示例:
site:eud.cn
0x02 不是经常用的关键字
这些关键词,在日常的渗透过程的信息收集中,不是很常用,但是还是在某些特定环境下可以使用的,如果有需要的话可以自行查看和搜索使用方法.
| 关键字 | 说明 |
| Intitle、Allintitle | 在标题中搜索 |
| Related | 显示相关站点 |
| Phonebook | 搜索电话列表 |
| Filetype | 搜索制定类型的文件 |
| Rphonebook | 搜索住宅电话列表 |
| Allintext | 在网页内容里查找字符串 |
| Bphonebook | 商业电话列表 |
| Author | 搜索Google中新闻组帖子的作者 |
| Link | 搜索与当前网页存在链接的网页(不能与其他操作符或搜索关键字混合使用) |
| Group | 搜索Google标题 |
| Inanchor | 在链接文本中查找文本 |
| Masgid | 通过消息id来查找谷歌的帖子 |
| Daterange | 查找某个特定日期范围内发布的网页 |
| Insubject | 搜索Googlegroup的主题行 |
| Cache | 显示网页的缓存版本 |
| Stocks | 搜索股票信息 |
| Define | 显示某术语的定义 |
| Numrang | 搜索数字需要两个参数一个最小数,一个最大数,用破折号隔开 |
当然google也为我们提供了很方便的其他的符号,便于我们进行进一步的信息收集
0x03 特殊符号使用
这些符号使用起来也很简单,只要在使用中需要时加入即可
| 关键字 | 说明 |
| + | 加入被忽略的词 例如搜索某个域名下的身份证和学号 site:xxx.edu.cn filetype:xlsx +身份证号 + 学号 |
| - | 忽略某个词 例如说搜索site:edu.cn -www 可以排除主域的域名,找脆弱资产,主站一般很难进入,找不含主站的薄弱资产 |
| ~ | 同意词。单一的通配符 没用过 |
| * | 通配符,可代表多个字母 这个就和sql语法的*号类似 例如 site: *.edu.cn 就会匹配出 xxx.eud.cn的子域名出来 ,类似与 *.管理系统 就会匹配出 志愿管理系统,档案管理系统等这些系统出来 |
| "" | 精确查询 这个很好用 site:edu.cn "身份证" 就会精准查询含有身份证词的域名,当然现在也是很难了,都被大佬们轮了好多遍了 |
0x04 布尔操作
布尔操作就是,如果我们需要多个关键词一起使用的话,就需要使用这些布尔操作的词进行操作
| 关键字 | 说明 |
| and | 与 |
| or | 或 |
| not | 不 |
0x05注意事项
1.操作符、冒号、关键字之间是没有空格的。
2.布尔操作符(AND、OR、NOT)和特殊字符(-、+)仍可用作高级操作符查询,但是不能把他
们放在冒号之前而把冒号和操作符分开。
3.高级操作符能够和单独的查询混合使用
ALL操作符(以ALL开头的操作符)非常古怪。一般情况下,一个查询中只能使用一次ALL操作符,而且不能和其他操作符混用
0x06 使用例子(组合式)
下面是一些我经常使用例子,方便大家更好的学习和使用,当然也是我的一些总结,你可以直接进行搜集尝试,说是说不明白的,直接尝试一看就懂.
0x06.1 例子一
site:edu.cn intitle:后台
搜索出所有edu.cn域名下网页标题存在后台的URL
0x06.2 例子二
inurl:www.baidu.com intext:安全
搜索出URL存在www.baidu.com网页文字中存在安全的URL
0x06.3 例子三
inurl:www.baidu.com filetype:jsp
搜索出URL包含www.baidu.com文件类型为jsp的URL
0x06.4 例子4-子域名排除
site:baidu.com -site:www.baidu.com
搜索baidu.com域名信息并且排除某个www.baidu.com这个域名的信息
0x06.5 例子5-找注入
site:qq.com inurl:?id=1 filetype:php
查找qq域名下面url带“?id”的并且是php后缀的url
0x06.6 例子6-找目录遍历
Intext:"index of" Intext:"index of" intitle:"index of" Intext:"Parent Directory" intitle:"index of"
0x06.7 例子7-找泄露
Filetype:txt intext:用户名 and 密码 Filetype:txt intext:username and password
查找所有类型为txt 并且内容带有“intext”语法的数据
0x06.8 例子8-找指定端口网站
Inurl:6379 -intext:6379
查找url中带6379 并且正文不存在6379这个字眼的网站
0x06.9 例子9-搜索web信息
site:qq.com inurl:manage
管理端 找到的例子
site:qq.com intext:管理|后 台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system site:qq.com inurl:login|admin|manage|manager|admin_login|login_admin|system
查询网页标题含有intext关键词并且为php后缀的网站
0x06.10 例子10-取某个网站邮箱或电话
site:xxxx.com intext:*@xxxx.com site:xxxx.com intext:电话
不同搜索引擎的区别
当然有了搜索语法,但是搜索平台还是很重要的,用google搜索需要科学上网,当然也还有其他的可以进行替代的搜索引擎,但是效果确实会差一些,下面的图片能够狠清晰的看出区别.
这里分享一个大佬的谷歌捡洞语法,过期了,可以进行评论,或是私聊我都可以
方法2(资产测绘平台)
fofa
网安界资产测绘国内的开山鼻祖,基本是上是最好用的,但是自从可以获得永久fofa高级会员的活动结束后,一个fofa高级被炒到了几万无货,想测出更多资产只能使用可以调用fofa接口的工具,去某鱼租一个月一个月的高级账号,好用是好用,但是小白是真的用不起,我基本就是fofa搜集到用鹰图进一步搜索,偶尔租个会员去一次搜集想搜集的资产.
fofa搜索: title="管理后台" && country="CN"
这里就可以通过改进搜索xx管理后台,然后配合fofa自己的很多语法进行搜集,基本和google语法一致,可以搭配进行使用,如果想进行更多的收集测试,可以通过查看示例和去搜集和学习别人的语法,然后进行改进,变成自己的东西.
1、title="后台管理" 搜索页面标题中含有“后台管理”关键词的网站和IP
2、header="thinkphp" 搜索HTTP响应头中含有“thinkphp”关键词的网站和IP
3、body="管理后台" 搜索html正文中含有“管理后台”关键词的网站和IP
4、body="Welcome to Burp Suite" 搜索公网上的BurpSuite代理
5、domain="itellyou.cn" 搜索根域名中带有“itellyou.cn”的网站
6、host="login" 搜索域名中带有"login"关键词的网
7、port="3388" && country=CN 搜索开放3388端口并且位于中国的IP
8、ip="120.27.6.1/24" 搜索指定IP或IP段
9、cert="phpinfo.me" 搜索证书(如https证书、imaps证书等)中含有"phpinfo.me"关键词的网站和IP
10、ports="3306,443,22" 搜索同时开启3306端口、443端口和22端口的IP
11、ports=="3306,443,22" 搜索只开启3306端口、443端口和22端口的IP
这里也分享一个我的初学时的fofa珍藏宝典吧,当然下面的语法,有的也就乐呵乐呵,不可能是真的,也就提供一下,fofa进行信息搜集的思路吧.
鹰图
不得不说,如果fofa是鼻祖的话,那么鹰图就是穷比白嫖和使用的最佳平台了,相比fofa,来说鹰图每天都有500查询点,可以查询按照资产导出,也可以注册多个账号换着来,你懂得,当然有些方式还是和fofa的会员付费用的点数才能查询一样,但是影响不大,毕竟都白嫖了,还要什么自行车呢.
这个是我之前测过的一个语句,可以通过换一些查询方式来获得更多的资产
ip.isp="教育"&&(web.body="登录页面"||web.title="后台管理") 4000多条资产
如果需要挖掘教育SRC的话,这里分享一个大佬团队的信息收集思路文档,帮助大家进行开放思路,提高自己的信息收集能力
如何进行利用
搜集完后,进入页面,看见登录框,就是一波弱口令,通常没有验证码的,更容易弱口令进去,当然有也不要怕,还是有几率出的,毕竟人嘛,要么懒,要么疏忽,还有一种方式就是因为初始密码看着感觉很复杂就不改了,也是一种原因
密码总结无非就是几种:
1.弱密码:简单来说就是很像123456这种,输入密码的时候懒得或是种种原因,系统也没有限制就写成简单的密码了,可以进行burp或是其他工具进行爆破,当然这种方式一般需要换代理ip,爆破一般ip容易被扳的
2.默认密码1:每个厂商或是大一点的公司有开发的默认密码,这种通常就是直接使用google语法进行搜索 设备或是系统的默认密码或是管理手册,查看是否含有密码
3.那小厂商呢,一般就是admin或者是123456,或是和管理员账号一样作为密码
4.默认密码2:对于学校类的资产,如果是学生基本就很熟悉,一般就是什么xql+学号 这个一般都有手册,每个学校也不同,或是通过身份证号/学号等密码一般也就是身份证号后6位或8位/学号后几位等, 需要进行信息收集
5.空密码,直接随便输入或者不输入密码,输入账号点击登录就会进入
6.给脸账号密码(直接进入页面,页面中就写着账号和密码)或是前台HTML页面的信息中含有账号密码(我遇到过很多,其中有西安建筑科技大学的资产)
admin/admin admin/123456 admin/admin123 admin/admin666 admin/admin888
还有就是搜索系统看有没有默认密码,或是管理手册中是否含有 如果都没有的话,那就溜吧,小白不适合进一步了
案例分享
其实通过案例的分享,相信也能看出来弱口令就是那几个,这样的资产也是有很多的,但是主要还是看你能否搜集到不重复的,也就是别人没找到的资产
案例1:某志愿管理系统
其实熟悉和测试多了登录页面的人应该很熟悉这个页面,一看就是若依的,这个系统也是算是一个高危吧,里面有440个社区的管理,几千条敏感信息数据.
弱口令: admin/admin123
前台页面
后台页面
案例2:某游戏管理平台
这个页面也就常规吧,当时是通过一个ico的hash值搜索到的资产,前台平平无奇,后台是个看上去应该是小游戏的管理之类的
弱口令: admin/admin
前台页面
后台页面
案例3:某餐饮管理平台
这个平台也就普普通通的存在验证码,还是存在漏洞,今天复测的时候,发现修复了,应该是有人交了吧,然后修复了,可惜给大家看不到后台了.
弱口令: admin/admin
前台页面
剩下的几个都是设备为锐捷网络的,我最近因为拿了RCE漏洞系统,于是进行了尝试,虽然还是拿到了几个RCE,但是没有ip没有备案,不能提交也是很遗憾的,但是还是更加熟系了这套系统的其他类型的资产,方便后续测试中,有可能遇到而进一步测试,当然下面的也不用打码了,因为有很多资产都是这个页面,谁也分辨不出来.
下面的资产就是我说的设备的出厂时的默认密码为admin
案例4:RG交换机
锐捷网络产生开发的物理网设备,其实后台应该也是有一个RCE的,但是也没必要测了,但是进入后台,就可能这个设备的信息就知道,这个危害是非常大的,对公司的影响巨大.
弱口令: admin/admin
前台页面
后台页面
案例5:RG-WALL WEB管理系统
看看危害大不,防火墙一关,系统设置一改,不知道会造成多大的危害,所以,管理员还是要做好防护工作,注意弱口令
弱口令: admin/admin
前台页面
后台页面
案例6:睿易交换机
这个就不贴后台的图片了,睿易系列就是上面的RG交换机系列的,后台功能都一模一样
弱口令: admin/admin
前台页面
总结
其实对于弱口令挖掘来说,最基础的就是尝试弱口令,当然如果要进行进一步测试的话,爆破密码只是很简单的一只种,还可以通过在各种例如抖音,小红书,甚至QQ群,公众号等进行身份证,学号等信息搜集,当然如果在允许情况下,也可以进行社工获得一些账号密码,尝试进行进一步测试(切记要合法).当然弱口令也是一种磨练耐心的一种方式吧,我刚开始时,一周内测试了1万多个网站吧,就是为了尝试弱口令,现在想来当时不懂,现在知道了应该是搜索时,还是使用的是别人用过的语法吧,战果可怜也就测出来几十个,能交教育的也没几个. 要说这个是无脑吧,确实是,但是还是看你是否能坚持下去 ,也不知道是什么让我坚持过去了,也见识了各种各样的系统和资产,熟悉了各种资产和厂商的资产,看到一个网站就大概知道是什么系统的,或是什么cms的,大概可能有什么漏洞,为后续技术的提升以及挖到高危漏洞,提供了很多便捷.其实最大的收获可能就是让我知道了,不提升技术,就会很难挖到漏洞,现在的环境对于小白的要求越来越高了,上山的路会越来越窄,但路上的人也会越少.达到一定程度时,也就很容易挖到洞了,报告写到你吐.
