漏洞挖掘之爆破的藝術

• 2020 年 3 月 11 日
• 筆記

oxo1 暴力破解偶遇302跳轉

在進行暴力破解登錄框的時候、發現第一個驗證碼是正常的、後面全部驗證碼錯誤、查看302的返回包

嘗試直接用上方這個鏈接爆破、發現此鏈接可以直接繞過驗證碼來進行暴力破解。（成功的圖當時沒保存）

然後順帶講一下，有時候爆破會遇到多個302跳轉BurpSuite有一個設置可以跟隨跳轉

oxo2 暴力破解用戶名的方法

爆破用戶名的位置：登錄、註冊、忘記密碼。如果能註冊、在成功登錄後修改密碼處也有可能可以爆破用戶名。

隨手輸入一波帳號和密碼、提示用戶名或密碼錯誤。你看到這裡你以為不能先遍歷用戶名是否存在、再爆破密碼了？這可不一定

當你輸入存在的用戶名、他居然提示了你輸入錯誤的次數、從而暴露了這個用戶名是存在的

有時候他返回包是一個數字然後前端給解析一下返回到頁面上、你也可以直接先看一下前端有哪些返回情況、然後快速定位到相對應的JS文件。

例如：下方驗證碼錯誤

這裡使用的是火狐、查看元素(F12)、調試器、所有文件中查找

把前端提示的內容進行搜索

可以看到 case "-7" 參數、說明是可以用來爆破用戶名的

有時候Web端可能需要驗證碼爆破、但是繞不過驗證碼、如果有相關APP、不妨試試APP會有驚喜呢

oxo3 暴力破解繞過IP限制

當你爆破出用戶名後你要爆破密碼而他有這個限制、那麼你沒轍了嗎

總有些開發只是為了防止別人爆破密碼設置了這個提示、並不一定直接將這個帳號鎖定。那麼我們只要再設置一個X-Forwarded-For頭就可以輕鬆繞過了

這裡推薦一款Burp插件：fakeip

oxo4 暴力破解參數的驚喜

在一次眾測中、驗證碼繞不過、別驗證碼這驗證碼識別成本有點高而且眾測拼速度、我還是走別的路吧。（這個驗證碼其實可以搞成拒絕服務眾測好像不收我也沒提）

重點來了api.php有沒有覺得有東西搞了。來我們來爆破了，這回爆破什麼呢，爆破參數，這裡呢有兩種爆破

一種是api.php?m={} 一種是api.php?{}=xx

這是我當時爆破的圖我們可以從長度狀態碼來看這個參數是否存在、而且當我們爆破出如下參數時/ api.php?m =getuserinfo 返回空白頁但狀態碼是200、這時候我們就要想應該是還缺了一個參數於是就出現這樣的爆破/ api.php?m =getuserinfo&xxx=1111、因為getuserinfo很明顯是一個用戶資訊的參數此時我們應該是缺少類似userid的標識我們就直接來一個=1111然後爆破xxx成功爆破出followerid參數（成功收穫一個資訊泄露）

後面我還陸續爆破出多個參數、兩處未授權頁面

一處反射型XSS

一處越權

oxo5 暴力破解手冊的重要性

再給你們講一個我一直強調的點，如果遇到一個登錄框的測試有說明文檔的一定要看、裡面有很多東西可能用到，我說幾個例子

這是某個後台假如你上來就是一把梭、你爆破不出來的因為用戶名不是常規的我們去看一下項目手冊

發現一處用戶名、一處通用弱口令

看到這個帳號3601000039K你想到什麼、你去爆破這個帳號的密碼？我想到的是這帳號肯定是有規律的、於是我設置了一個爆破

成功爆破出大量帳號、進去後又發現一處越權

oxo6 暴力破解偶遇401認證

在爆破 tomcat 時

帳號和密碼是base64編碼的

設置爆破參數

設置用戶名字典

設置 一個 : 分割帳號和密碼

設置密碼字典

設置編碼方式

開始爆破