Web登录认证类漏洞总结 | 技术精选0137

本文约5000字,阅读约需11分钟。

做渗透测试的过程中,碰到过各种各样千奇百怪的Web系统。因此,打算写一篇聚焦于如何获得Web系统权限这个主题的文章。

因为其中的复杂性和特殊性,所以部分内容将通过通用漏洞和自己碰到过的漏洞来演示。部分演示漏洞可以在:
“https://github.com/vulhub”
此网站上复现,或者通过搜索语法,搜索关键词,根据情况进一步了解。

1

情景列举
首先来看下几类漏洞情景。

  • 登录失败返回包修改,例如“false”改为“true”,响应数值“0”改为“1”,登录后台。如果存在这些情况,一般前端Js、Html也可以直接找到后端对应的各类未授权访问接口;
  • 未授权访问,直接访问对应链接即可获得系统权限;
  • 账号密码默认填充,直接点击即可登录;
  • Js、Html存在用户名密码注释信息;
  • 弱口令爆破,使用一些用户名、人名、密码字典等进行爆破;
  • 根据系统查找系统对应的默认账号密码登录;
  • 有些系统的密码为空,密码不填或者抓包后置空发送;
  • 存在信息泄露手机号、邮箱、人名等可以到社工库查找对应的密码;
  • 有些密码需要根据收集的信息进行社工字典密码生成才能得到,附两个github项目:

“https://github.com/Mebus/cupp”
“https://github.com/zgjx6/SocialEngineeringDictionaryGenerator”

  • 用户名或者密码字段存在sql注入,比较典型的是万能密码登录,例如’or 1=1 #在某些字典也集成了对应payload;
  • 存在sql注入翻找用户名密码,有时候无法解密,但是用户登录处加密功能与数据库里最终加密结果一样,抓包后替换即可;
  • XSS打到后台cookie登录;
  • 管理系统可以注册成为管理员,内部人员所使用的系统在公网直接注册成为内部人员,从而获取到特殊的权限;
  • 页面无注册功能,通过Js或Html找到隐藏注册接口注册登录;
  • 注册时验证码没有做好绑定,删除验证码参数,或者验证码参数为空可以注册;
  • 验证码没有做好绑定,发送了验证码但是后端接收到任意验证码都可以注册、爆破、重置密码等;
  • 注册成为低权限账号后越权到管理员权限;
  • 发送验证码后回显到返回数据包中;
  • 验证码过于简单可以爆破或者识别;
  • 忘记密码输入合法用户后,通过验证码漏洞或者篡改认证手机号、邮箱,重置密码登录。

2
具体情景
锐捷RG-UAC统一上网行为管理审计系统账户硬编码漏洞

CNVD-2021-14536锐捷RG-UAC统一上网行为管理审计系统存在信息泄露漏洞,攻击者可以通过审查网页源代码获取到用户账号和密码,导致管理员用户认证信息泄露。
title:”RG-UAC登录页面”&& body=”admin”;
app:”锐捷RG-UAC统一上网行为管理审计系统”;

访问页面源代码搜索admin:

将md5加密后的password字段解密后登录。
LinkDCS系列监控账号密码信息泄露漏洞 CVE-2020-25078
Fofa  app:”D_Link-DCS-2530L”;
访问路径:/config/getuser?index=0显示账号密码:

Kyan网络监控设备账号密码泄露漏洞
fofatitle:”platform – Login”;
访问/hosts ,显示用户名密码:

harbor注册功能逻辑漏洞CVE-2019-16097
此漏洞属于一个严重的权限提升漏洞,该漏洞使任何人都可以在其默认设置下获得管理员权限,在注册时,post包最后加上”has_admin_role”:true,即可注册成为管理员。

在post包最后加上”has_admin_role”:true,注册成功:

使用注册后账号密码即可访问获得管理员权限。
Nacos身份验证绕过(CVE-2021-29441)
Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,致力于帮助发现、配置和管理微服务。
Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。
该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。
开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。
利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息:

burp中,proxy->options->Matchand Peplace模块将user-agent设置为Nacos-Server:

访问漏洞接口:

添加一个账号:账号密码都为vulhub:

ApacheShiro身份验证绕过漏洞(CVE-2020-1957)
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
在ApacheShiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造”..;”这样的跳转,可以绕过Shiro中对目录的权限限制。

直接访问/admin目录302跳转,使用/xxx/..;/admin/绕过目录权限限制:

AppWeb身份验证绕过漏洞(CVE-2018-8715)
AppWeb是EmbedthisSoftware LLC公司负责开发维护的一个基于GPL开源协议的嵌入式WebServer。他使用C/C++来编写,能够运行在几乎现今所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供WebApplication容器。
AppWeb可以进行认证配置,其认证方式包括以下三种:

  • basic传统HTTP基础认证;
  • digest改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用再传递Authorization头;
  • form表单认证;

其7.0.3之前的版本中,对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),AppWeb将因为一个逻辑错误导致直接认证成功,并返回session。
利用该漏洞需要知道一个已存在的用户名,当前环境下用户名为admin。
构造头:-

Authorization:Digest username=admin

并发送如下数据包:

可见,因为我们没有传入密码字段,所以服务端出现错误,直接返回了200,且包含一个session:

设置这个session到浏览器,即可正常访问需要认证的页面:

ApacheAirflow 身份验证绕过(CVE-2020-17526)
ApacheAirflow是一款开源的,分布式任务调度框架。默认情况下,ApacheAirflow无需用户认证,但管理员也可以通过指定webserver.authenticate=True来开启认证。
在其1.10.13版本及以前,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。
首先,我们访问登录页面,服务器会返回一个签名后的Cookie:

然后,使用flask-unsign这个工具来爆破签名时使用的SECRET_KEY:

成功爆破出Key是temporary_key。使用这个key生成一个新的session,其中伪造user_id为1:

在浏览器中使用这个新生成的session,可见已成功登录:

ApacheCouchdb 远程权限提升(CVE-2017-12635)
ApacheCouchDB是一个开源数据库,专注于易用性和成为“完全拥抱Web的数据库”。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库,应用广泛。如BBC用在其动态内容展示平台,CreditSuisse用在其内部的商品部门的市场框架。
CVE-2017-12635,是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员:

可见,返回403错误:

{"error":"forbidden","reason":"Only_admin may set roles"}

只有管理员才能设置Role角色:

发送包含两个Roles的数据包,即可绕过限制:

成功创建管理员,账户密码均为vulhub,成功登录:

Influxdb未授权访问漏洞
Influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在Influxdb中执行SQL语句。
环境启动后,访问:
“http://your-ip:8086/debug/vars”
即可查看一些服务信息,但此时执行SQL语句则会出现401错误:

借助https://jwt.io/来生成jwttoken:
其中,admin是一个已经存在的用户,exp是一个时间戳,代表着这个token的过期时间,你需要设置为一个未来的时间戳。
最终生成的token:

设置后成功访问:

DVR登录绕过漏洞(CVE-2018-9995)
Googlehacking : intitle:”DVR Logion”访问device.rsp?opt=user&cmd=list,并设置Cookie:uid=admin,即可返回此设备的明文管理员凭证。

ApacheAPISIX 默认密钥漏洞(CVE-2020-13945)
ApacheAPISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员:
“Token edd1c9f034335f136f87ad84b625c8f1”
攻击者利用这个Token可以访问到管理员接口,进而通过script参数,来插入任意LUA脚本并执行。
利用默认Token增加一个恶意的router,其中包含恶意LUA脚本:


Druid控制台seesion泄露获取后台权限:

某次项目,在session监控中发现大量session后,在url监控里面找到一个感觉最可能带有session访问且会有对应数据的leftNavProfession.jsp路径,拼接域名后,访问链接并使用burp抓包。
然后将session监控里面的所有session提取出来,放到burp爆破,最终爆破出来几个返回长度不一样数据包,都为有效session。其中数据包最大的是超级管理员权限,其余权限不同的账号返回数据包大小也有区别。
具体操作步骤可查看以下链接:
“https://baijiahao.baidu.com/s?id=1660969810444268979&wfr=spider&for=pc”
Springboot的http认证信息泄露
Springboot存在Httptrace或者/actuator/httptrace接口,可能泄露cookie,通过提取其中的认证信息访问对应系统,获取相应权限。
更多Springboot相关漏洞可访问:
“https://github.com/LandGrey/SpringBootVulExploit”

外网系统点击链接后访问内网IP
碰到过一些系统,在登录或使用其它功能时指向如172.16.*.*、192.168.*.*、127.0.0.1之类的内网ip。
如下图案例,点击登录功能会指向127.0.0.1:8080/axis2/,通过burp中proxy->options->Matchand Peplace模块设置规则后,将127.0.0.1:8080转化为目标外网ip,成功登录。


登录系统时ip地址禁止访问
某些站点访问时显示“禁止外部ip访问”、“登录ip不是白名单ip”等。
可以使用burp插件绕过,伪造ip为127.0.0.1、0.0.0.0之类的ip进行绕过。
“https://github.com/swagkarna/Burp-FakeIp”

3
总结
希望此篇文章可以帮助大家对于从黑盒、白盒方面挖掘Web登录认证漏洞有更多的思路。

– END –

本文作者:酒仙桥六号部队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/181160.html

© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享