米斯特白帽培训讲义 漏洞篇 弱口令、爆破、遍历

讲师：gh0stkey

整理：飞龙

协议：CC BY-NC-SA 4.0

成因

弱口令没有严格和准确的定义，通常认为容易被别人（它们有可能对你很了解）猜测或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如”123”、”abc”等，因为这样的口令很容易被别人破解。

通过爆破工具就可以很容易破解用户的弱口令。

目前网络上也有人特地整理了常用的弱口令（Top 100）：

123456 a123456 123456a 5201314 111111 woaini1314 qq123456 123123 000000 1qaz2wsx 1q2w3e4r 
qwe123 7758521 123qwe a123123 123456aa woaini520 woaini 100200 1314520 woaini123 123321 
q123456 123456789 123456789a 5211314 asd123 a123456789 z123456 asd123456 a5201314 aa123456 
zhang123 aptx4869 123123a 1q2w3e4r5t 1qazxsw2 5201314a 1q2w3e aini1314 31415926 q1w2e3r4 
123456qq woaini521 1234qwer a111111 520520 iloveyou abc123 110110 111111a 123456abc w123456 
7758258 123qweasd 159753 qwer1234 a000000 qq123123 zxc123 123654 abc123456 123456q qq5201314 
12345678 000000a 456852 as123456 1314521 112233 521521 qazwsx123 zxc123456 abcd1234 asdasd 
666666 love1314 QAZ123 aaa123 q1w2e3 aaaaaa a123321 123000 11111111 12qwaszx 5845201314 
s123456 nihao123 caonima123 zxcvbnm123 wang123 159357 1A2B3C4D asdasd123 584520 753951 147258 
1123581321 110120 qq1314520

危害

中石油的多个加油站的视频监控被入侵，我们可以通过它们看一些隐私。也可以通过它把监控器关掉，来进行一些非法活动。

实战

比如说，我们使用这样一段代码来演示弱口令漏洞，它模拟了某个系统的后台。（课件里没有这个代码，这是我还原出来的）

<form method="POST" action="./lesspass.php">
    <input type="text" name="un" />
    <input type="password" name="pw" />
    <input type="submit" value="登录" />
</form>
<?php
$un = @$_POST['un'];
$pw = @$_POST['pw'];
if($un == '' && $pw == '') 
    return;
else if($un == 'admin' && $pw == 'admin888') 
    echo '登录成功';
else
    echo '登录失败';

第一行到第六行组成了一个 HTTP 表单。我们可以看到，这个表单使用 POST 方法向这个页面自己提交信息，un表单域对应 PHP 的un变量，pw表单域对应 PHP 的pw变量。

第七行和第八行从 HTTP 请求的主体中取出un参数和pw参数。

第九到第十四行对用户名和密码参数做判断，如果都为空，那么我们认为它仅仅是显示页面的请求，直接返回。如果un为admin，且pw为admin888，因为这是我们预设的正确用户名和密码，所以显示登陆成功，否则显示登录失败。

真实代码的用户名和密码是从数据库里面取的，但是它仍然是确定的东西，而且如果存在弱口令，还是能破解出来，原理一致。

把它保存为lesspass.php，将其部署后访问http://localhost/lesspass.php。

接下来我们假装不知道真实密码，开始尝试。对于管理员账户，用户名一般是admin，密码可能为admin、admin123、admin888、123456、123abcadmin等等。

首先输入admin和admin，尝试失败：

之后是admin和admin123，还是失败。最后尝试admin和admin888，成功。

可见，爆破破解的原理就是一个一个尝试，破解效果完全取决于你所使用的字典。如果密码碰巧在你的字典中，就一定能成功。

Burp Suite 爆破

首先我们需要把浏览器和 Burp 的代理配置好，打开 Burp 的拦截模式。之后我们在lesspass.php页面中随便输入什么东西并提交，在 Burp 中就可以看到拦截的封包：

为了爆破密码，我们需要使用它的 Intruder 功能，右键弹出菜单并选择”Send to Intruder”：

之后访问 Intruder 标签页，在 Position 子标签页中我们可以看到封包。

我们需要点击右边的Clear按钮把所有标记清除掉，由于我们需要破解密码，我们选中密码参数值点击Add。

之后我们切换到旁边的 Payloads 标签页，点击中间的load按钮，加载字典。我们选择之前的top100.txt。

不要忘了要将admin888插入进去。在下面的输入框中输入admin888，并点击旁边的Add。

点击右上角的Start Attack来开始爆破，我们会看到结果列表。

我们点击Length表头，让它按照长度来排序。可以发现有一个项目的长度与其它明显不同，那么它就是正确的结果。

Burp Suite 遍历

比如这段代码，我们将其保存为info.php：

<?php
$id = @$_GET['id'];
$arr = array('1', '2', '3', '4', '5');
if(in_array($id, $arr, true)) 
    echo "用户名：$id 密码：123456";
else
    echo "信息出错";

这段代码模拟了用户信息的查询页面，一共有五条记录。我们可以访问这个页面，并使用 Burp 来拦截。像之前一样，发送到Intruder，然后清除掉所有标记，只保留 ID 的标记：

由于是纯数字，我们把上面的Payload Type调成Numbers。下面，我们把From设为1，To设为10，Step设为1。

之后点击Start Attack。我们可以看到结果，其中ID 1 ~ 5 的长度都是 224，6 ~ 10 都是 211。我们之前的测试中，2 是有效的，所以 224 应该是有效内容的长度。