Web登录认证类漏洞总结 | 技术精选0137


本文约5000字,阅读约需11分钟。


做渗透测试的过程中,碰到过各种各样千奇百怪的Web系统。因此,打算写一篇聚焦于如何获得Web系统权限这个主题的文章。

因为其中的复杂性和特殊性,所以部分内容将通过通用漏洞和自己碰到过的漏洞来演示。部分演示漏洞可以在:

"https://github.com/vulhub"

此网站上复现,或者通过搜索语法,搜索关键词,根据情况进一步了解。

1

情景列举

首先来看下几类漏洞情景。

  • 登录失败返回包修改,例如“false”改为“true”,响应数值“0”改为“1”,登录后台。如果存在这些情况,一般前端Js、Html也可以直接找到后端对应的各类未授权访问接口;

  • 未授权访问,直接访问对应链接即可获得系统权限;

  • 账号密码默认填充,直接点击即可登录;

  • Js、Html存在用户名密码注释信息;

  • 弱口令爆破,使用一些用户名、人名、密码字典等进行爆破;

  • 根据系统查找系统对应的默认账号密码登录;

  • 有些系统的密码为空,密码不填或者抓包后置空发送;

  • 存在信息泄露手机号、邮箱、人名等可以到社工库查找对应的密码;

  • 有些密码需要根据收集的信息进行社工字典密码生成才能得到,附两个github项目:

"https://github.com/Mebus/cupp"

"https://github.com/zgjx6/SocialEngineeringDictionaryGenerator"

  • 用户名或者密码字段存在sql注入,比较典型的是万能密码登录,例如’or 1=1 #在某些字典也集成了对应payload;

  • 存在sql注入翻找用户名密码,有时候无法解密,但是用户登录处加密功能与数据库里最终加密结果一样,抓包后替换即可;

  • XSS打到后台cookie登录;

  • 管理系统可以注册成为管理员,内部人员所使用的系统在公网直接注册成为内部人员,从而获取到特殊的权限;

  • 页面无注册功能,通过Js或Html找到隐藏注册接口注册登录;

  • 注册时验证码没有做好绑定,删除验证码参数,或者验证码参数为空可以注册;

  • 验证码没有做好绑定,发送了验证码但是后端接收到任意验证码都可以注册、爆破、重置密码等;

  • 注册成为低权限账号后越权到管理员权限;

  • 发送验证码后回显到返回数据包中;

  • 验证码过于简单可以爆破或者识别;

  • 忘记密码输入合法用户后,通过验证码漏洞或者篡改认证手机号、邮箱,重置密码登录。

2

具体情景

锐捷RG-UAC统一上网行为管理审计系统账户硬编码漏洞

CNVD-2021-14536锐捷RG-UAC统一上网行为管理审计系统存在信息泄露漏洞,攻击者可以通过审查网页源代码获取到用户账号和密码,导致管理员用户认证信息泄露。

title:"RG-UAC登录页面"&& body="admin";

app:"锐捷RG-UAC统一上网行为管理审计系统";


访问页面源代码搜索admin:


将md5加密后的password字段解密后登录。

LinkDCS系列监控账号密码信息泄露漏洞 CVE-2020-25078

Fofa  app:"D_Link-DCS-2530L";

访问路径:/config/getuser?index=0显示账号密码:


Kyan网络监控设备账号密码泄露漏洞

fofatitle:"platform - Login";

访问/hosts ,显示用户名密码:


harbor注册功能逻辑漏洞CVE-2019-16097

此漏洞属于一个严重的权限提升漏洞,该漏洞使任何人都可以在其默认设置下获得管理员权限,在注册时,post包最后加上"has_admin_role":true,即可注册成为管理员。


在post包最后加上"has_admin_role":true,注册成功:


使用注册后账号密码即可访问获得管理员权限。

Nacos身份验证绕过(CVE-2021-29441)

Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,致力于帮助发现、配置和管理微服务。

Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。

该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。

开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。

利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息:


burp中,proxy->options->Matchand Peplace模块将user-agent设置为Nacos-Server:


访问漏洞接口:


添加一个账号:账号密码都为vulhub:


ApacheShiro身份验证绕过漏洞(CVE-2020-1957)

ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

在ApacheShiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造"..;"这样的跳转,可以绕过Shiro中对目录的权限限制。


直接访问/admin目录302跳转,使用/xxx/..;/admin/绕过目录权限限制:


AppWeb身份验证绕过漏洞(CVE-2018-8715)

AppWeb是EmbedthisSoftware LLC公司负责开发维护的一个基于GPL开源协议的嵌入式WebServer。他使用C/C++来编写,能够运行在几乎现今所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供WebApplication容器。

AppWeb可以进行认证配置,其认证方式包括以下三种:

  • basic传统HTTP基础认证;

  • digest改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用再传递Authorization头;

  • form表单认证;

其7.0.3之前的版本中,对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),AppWeb将因为一个逻辑错误导致直接认证成功,并返回session。

利用该漏洞需要知道一个已存在的用户名,当前环境下用户名为admin。

构造头:
-
Authorization:Digest username=admin

并发送如下数据包:


可见,因为我们没有传入密码字段,所以服务端出现错误,直接返回了200,且包含一个session:


设置这个session到浏览器,即可正常访问需要认证的页面:


ApacheAirflow 身份验证绕过(CVE-2020-17526)

ApacheAirflow是一款开源的,分布式任务调度框架。默认情况下,ApacheAirflow无需用户认证,但管理员也可以通过指定webserver.authenticate=True来开启认证。

在其1.10.13版本及以前,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。

首先,我们访问登录页面,服务器会返回一个签名后的Cookie:


然后,使用flask-unsign这个工具来爆破签名时使用的SECRET_KEY:


成功爆破出Key是temporary_key。使用这个key生成一个新的session,其中伪造user_id为1:


在浏览器中使用这个新生成的session,可见已成功登录:


ApacheCouchdb 远程权限提升(CVE-2017-12635)

ApacheCouchDB是一个开源数据库,专注于易用性和成为“完全拥抱Web的数据库”。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库,应用广泛。如BBC用在其动态内容展示平台,CreditSuisse用在其内部的商品部门的市场框架。

CVE-2017-12635,是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员:


可见,返回403错误:
{"error":"forbidden","reason":"Only_admin may set roles"}

只有管理员才能设置Role角色:


发送包含两个Roles的数据包,即可绕过限制:


成功创建管理员,账户密码均为vulhub,成功登录:


Influxdb未授权访问漏洞

Influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在Influxdb中执行SQL语句。

环境启动后,访问:

"http://your-ip:8086/debug/vars"

即可查看一些服务信息,但此时执行SQL语句则会出现401错误:


借助https://jwt.io/来生成jwttoken:

其中,admin是一个已经存在的用户,exp是一个时间戳,代表着这个token的过期时间,你需要设置为一个未来的时间戳。

最终生成的token:


设置后成功访问:


DVR登录绕过漏洞(CVE-2018-9995)

Googlehacking : intitle:”DVR Logion”
访问device.rsp?opt=user&cmd=list,并设置Cookie:uid=admin,即可返回此设备的明文管理员凭证。


ApacheAPISIX 默认密钥漏洞(CVE-2020-13945)

ApacheAPISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员:

"Token edd1c9f034335f136f87ad84b625c8f1"

攻击者利用这个Token可以访问到管理员接口,进而通过script参数,来插入任意LUA脚本并执行。

利用默认Token增加一个恶意的router,其中包含恶意LUA脚本:



Druid控制台seesion泄露获取后台权限:


某次项目,在session监控中发现大量session后,在url监控里面找到一个感觉最可能带有session访问且会有对应数据的leftNavProfession.jsp路径,拼接域名后,访问链接并使用burp抓包。

然后将session监控里面的所有session提取出来,放到burp爆破,最终爆破出来几个返回长度不一样数据包,都为有效session。其中数据包最大的是超级管理员权限,其余权限不同的账号返回数据包大小也有区别。

具体操作步骤可查看以下链接:

"https://baijiahao.baidu.com/s?id=1660969810444268979&wfr=spider&for=pc"

Springboot的http认证信息泄露

Springboot存在Httptrace或者/actuator/httptrace接口,可能泄露cookie,通过提取其中的认证信息访问对应系统,获取相应权限。

更多Springboot相关漏洞可访问:

"https://github.com/LandGrey/SpringBootVulExploit"


外网系统点击链接后访问内网IP

碰到过一些系统,在登录或使用其它功能时指向如172.16.*.*、192.168.*.*、127.0.0.1之类的内网ip。

如下图案例,点击登录功能会指向127.0.0.1:8080/axis2/,通过burp中proxy->options->Matchand Peplace模块设置规则后,将127.0.0.1:8080转化为目标外网ip,成功登录。



登录系统时ip地址禁止访问

某些站点访问时显示“禁止外部ip访问”、“登录ip不是白名单ip”等。

可以使用burp插件绕过,伪造ip为127.0.0.1、0.0.0.0之类的ip进行绕过。

"https://github.com/swagkarna/Burp-FakeIp"


3

总结

希望此篇文章可以帮助大家对于从黑盒、白盒方面挖掘Web登录认证漏洞有更多的思路。




- END -

本文作者:酒仙桥六号部队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/181160.html

Tags:
评论  (0)
快来写下你的想法吧!

酒仙桥六号部队

文章数:105 积分: 865

提前看好文,搜索-微信公众号:酒仙桥六号部队

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号