滲透實(shí)戰(zhàn)：記一次弱口令的挖掘

前言

最近領(lǐng)導(dǎo)安排了一次眾測(cè)任務(wù)給我這個(gè)駐場(chǎng)的安服仔，是甲方公司一個(gè)新上線的系統(tǒng)，要求對(duì)此系統(tǒng)進(jìn)行漏洞挖掘。沒有任何測(cè)試賬號(hào)，資產(chǎn)ip等信息，領(lǐng)導(dǎo)丟下一個(gè)域名就跑了。

信息收集

打開域名，就是一個(gè)堂堂正正的登陸界面

使用nslookup查一下域名解析

先對(duì)ip進(jìn)行端口信息收集，除了一個(gè)443和一個(gè)識(shí)別不出來的2000端口，就沒有其他端口。那么只能從web入手了。

簡單掃了一下目錄，發(fā)現(xiàn)了后臺(tái)登陸界面

漏洞發(fā)掘初試

由于web只找到兩個(gè)登陸頁面，其他什么都找到，那么只能先對(duì)登陸頁面進(jìn)行測(cè)試?？吹角芭_(tái)登陸頁有短信登陸功能，馬上想到短信發(fā)送是否有頻率和次數(shù)限制，如有則存在短信炸彈漏洞。雖說不是什么危害性很大的漏洞，但漏洞就是漏洞！然鵝，這么簡單都洞找不到，哭了。

至于爆破賬號(hào)密碼也不要想了，驗(yàn)證碼是真的，而且這密碼還rsa加密，真的沒啥心情去嘗試爆破，估計(jì)毫無成功的希望。至此陷入僵局。

另辟蹊徑

雖說是月薪只有幾千的安服仔，但作為一名無證信息安全從業(yè)人員，怎能輕易言敗。重新?lián)Q個(gè)角度進(jìn)行思考，首先這是一個(gè)新上線的系統(tǒng)，而總所周知，甲方公司不具備任何開發(fā)能力，那么此系統(tǒng)必然是由第三方公司進(jìn)行開發(fā)，而系統(tǒng)正式上線之前大概率是有測(cè)試系統(tǒng)的。下一步就是嘗試去尋找此測(cè)試系統(tǒng)了。首先留意到前臺(tái)登陸頁面的源碼中，可以看到甲方公司的用戶協(xié)議文本。

在各大網(wǎng)絡(luò)空間搜索引擎中使用如下命令進(jìn)行查找

tilte = "xxxx" & body = "xxxx" 經(jīng)過一番搜索，可以發(fā)現(xiàn)一個(gè)不能說是相似，只能說是一模一樣的網(wǎng)站。

常規(guī)操作，先進(jìn)行一波端口掃描。這個(gè)站端口比起生產(chǎn)系統(tǒng)的多了好幾個(gè)，分別有：

22 : ssh 3306 : Mysql 6379 : Redis 3000 : HTTP 測(cè)試網(wǎng)站 5080 : HTTP 開發(fā)商另外一個(gè)項(xiàng)目的網(wǎng)站 8848 : HTTP 不明 3000端口的測(cè)試網(wǎng)站跟生產(chǎn)站類似，只有一個(gè)登陸界面，后臺(tái)地址也是一樣的，也是拿它沒任何辦法。Mysql和Redis都是有密碼的，暫時(shí)也沒辦法。那么將目光投向另外兩個(gè)Http服務(wù)。

5080端口，也是一個(gè)只有一個(gè)登陸界面的網(wǎng)站，看得出跟3000端口的網(wǎng)站是同一個(gè)框架搭建，可以暫時(shí)略過。

8848端口打開是nginx默認(rèn)頁，估計(jì)是需要指定uri才能打開。簡單搜索一下8848這個(gè)關(guān)鍵字，發(fā)現(xiàn)是nacos使用的默認(rèn)端口。

什么是 Nacos

Nacos /nɑ:k??s/ 是 Dynamic Naming and Configuration Service的首字母簡稱，一個(gè)更易于構(gòu)建云原生應(yīng)用的動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、配置管理和服務(wù)管理平臺(tái)。 Nacos 致力于幫助您發(fā)現(xiàn)、配置和管理微服務(wù)。Nacos 提供了一組簡單易用的特性集，幫助您快速實(shí)現(xiàn)動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、服務(wù)配置、服務(wù)元數(shù)據(jù)及流量管理。 Nacos 幫助您更敏捷和容易地構(gòu)建、交付和管理微服務(wù)平臺(tái)。Nacos 是構(gòu)建以“服務(wù)”為中心的現(xiàn)代應(yīng)用架構(gòu) (例如微服務(wù)范式、云原生范式) 的服務(wù)基礎(chǔ)設(shè)施。

簡單來說，就是nacos里面有大量配置文件。既然有默認(rèn)端口，那么有默認(rèn)口令也是人之常情。直接一發(fā)nacos:nacos，一發(fā)入魂！

翻查各種配置文件，發(fā)現(xiàn)大量敏感信息，可以找到Mysql和Redis的密碼。 3306端口對(duì)外開放，直接進(jìn)入Mysql里面翻網(wǎng)站的賬號(hào)和密碼hash，在另外一個(gè)表，還可以找到密碼hash使用的salt。

導(dǎo)出數(shù)據(jù)庫所有hash，先肉眼看一下，發(fā)現(xiàn)有大量hash是相同，機(jī)智的你看到這個(gè)，肯定想到這要不是弱口令，要不就是默認(rèn)密碼。

馬上準(zhǔn)備下班了，先用8位純數(shù)字+小寫字母進(jìn)行爆破，丟上服務(wù)器慢慢爆，明天一早起床收割。

弱口令挖掘

第二天一早上班，看了一下爆破結(jié)果，又有新的發(fā)現(xiàn)。爆破出來的密碼，大多是有特定格式的。主要的格式是：四位甲方公司英文簡寫+4位數(shù)字（以下我就用abcd代表該公司簡寫）。 使用爆破出來的口令成功登入測(cè)試網(wǎng)站的前臺(tái)，因?yàn)槭菧y(cè)試網(wǎng)站，里面也沒啥有價(jià)值的系統(tǒng)。我們的目標(biāo)還是要爆破出后臺(tái)管理的密碼。

下一步要繼續(xù)優(yōu)化爆破字典，根據(jù)我對(duì)此甲方公司的了解和多年配置弱口令的經(jīng)驗(yàn)，我初步想到以下兩個(gè)思路：

使用大小組合的甲方公司英文簡寫+4位數(shù)字進(jìn)行爆破。或者直接使用首字母大寫就足夠了（能按一下shift，就不想按兩下，對(duì)吧），這個(gè)方案復(fù)雜度最低，甚至可以再加2位數(shù)字進(jìn)行爆破。

使用大小組合的甲方公司英文簡寫+一位特殊字符+4位數(shù)字，或者大小組合的甲方公司英文簡寫+4位數(shù)字+一位特殊字符。大部分人為了強(qiáng)行加入特殊字符，一般喜歡在字符和數(shù)字之間加，或者在最后一位，此方案就是針對(duì)這種習(xí)慣。

廢話不多說，直接爆起來。 3 hours later。。。。 方案二的字典成功爆出后臺(tái)密碼，密碼是：Abcd2333@，嚴(yán)格意義上，這已經(jīng)是很強(qiáng)的口令，有大小寫字母、數(shù)字、特殊字符。但是，如果對(duì)這個(gè)公司有所了解，很容易就能發(fā)現(xiàn)其常用的簡寫，這么來說的話，這密碼也能算是一個(gè)“弱口令”。

測(cè)試站后臺(tái)成功拿下。經(jīng)過后臺(tái)一番探索，基本可以確定是thinkphp6，而且沒有多語言插件（誰沒事裝這插件。。。），getshell無望。Redis權(quán)限太低，版本不是4.x，也沒啥辦法。至此測(cè)試站滲透結(jié)束。

回到生產(chǎn)網(wǎng)站

雖說沒有成功拿下測(cè)試站有點(diǎn)可惜，不過從測(cè)試站的數(shù)據(jù)庫拿到不少的賬號(hào)和密碼，這些賬號(hào)密碼極有可能能登陸生產(chǎn)網(wǎng)站。簡單整理一下各種賬號(hào)口令，都是富有甲方特色的賬號(hào)，例如： 賬號(hào)：abcdadmin，密碼：Abcd#2022 賬號(hào)：abcdtest01，密碼：Abcd2333! 賬號(hào)：abcdtest02，密碼：Abcd2333! 賬號(hào)：admin01，密碼：abcd2333 手工組合各種賬號(hào)和密碼在主站進(jìn)行測(cè)試，輕松進(jìn)入后臺(tái)。 編寫報(bào)告：后臺(tái)弱口令【高?！?docx，任務(wù)完成，安服仔永不言敗~

總結(jié)

學(xué)藝不精，沒辦法getshell拿到權(quán)限，實(shí)在太菜。此文主要記錄一個(gè)強(qiáng)行挖掘弱口令的過程，滲透測(cè)試需要猥瑣的思路，弱口令也不再局限于top100，top1000之類。

審核編輯 ：李倩