V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
x500
V2EX  ›  程序员

是不是渗透网站, 99%以上最终都是通过暴力 burp 来尝试?

  •  
  •   x500 · 2021-11-13 13:59:27 +08:00 · 4201 次点击
    这是一个创建于 1135 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看了坛子里那个慎用开源的贴子,想起我前 2 年给朋友做的一个小工具,结果被人破了,人还录了视频,低价推销到他的客户那里去了,这是个小事情。 主要我做了一个 ROM ,刷好机后,卖手机给客户,赚这个差价。我以前没关心这个破解的事情,因为以前 Linux 的后台我一直用 C++写,通讯加密,内存数据加密,还代码中禁止 swap ,程序还绑定服务器运行,觉得没啥问题。但这个 ROM 的后台,当时顺手用 php 写的,我拿不准是不是被人搞了,是有客户问我:你网站一直被攻击吗?我一听,都蒙了,下意识就否认三连。当时也有人找我去破解别人的 ROM 或网站,我都拒绝了,破别人的 ROM 还不如用我自己的,什么功能我再加就是了,渗透网站,我以前没关心过也没去弄过。 然后,我这几天找了点资料看下,感觉没有那些 0day 漏洞的话,最终的破解应该都是走暴力 burp? 我也扫描了我自己的服务器,开放了几个端口,但我密码设得比较麻烦,也没什么古老的漏洞可以利用,另外虽然我在 php 的写法中也存在 sql 注入的漏洞,但参数我是加密了,并还有一些业务判断,除非是我自己来弄,感觉别人也很难弄。旧服务器上当时还有别的 php 演示项目,那个可能好攻击,现在我换到新服务器上了,那些都去掉了。 另外,我还下载了工具,扫描了网络上一些易被渗透的类型网站,看上去都是千疮百孔,但一翻尝试下来,都感觉没有那种一句话木马,找不到那种 0day 漏洞的话,感觉只剩下暴力 burp 一条路了,是不是? 哪位有闲,可以指点一下?或者学习一下,线下感谢。

    16 条回复    2021-11-15 08:41:19 +08:00
    magic996
        1
    magic996  
       2021-11-13 14:31:03 +08:00
    难道你的那台服务器就没有别的业务系统??
    kba977
        2
    kba977  
       2021-11-13 14:32:38 +08:00 via iPhone   ❤️ 2
    推荐个网站: https://tryhackme.com/
    markgor
        3
    markgor  
       2021-11-13 14:47:36 +08:00
    好一大段原谅我没用心看完;

    反正一般都是:
    1 、查环境信息;
    根据查询到的条件测试漏洞,配合 MSF 工具;

    2 、查注入点(非静态页面)
    查询到后丢去 sqlmap 跑;

    3 、分析
    如果上面两处都不行的,分析下站点,找找有没上传的地方或一些涉及交互才能提交的地方,开 burp 暴力尝试。

    不过就一般而言,上面的方式太麻烦了,直接搭建个漏洞测试平台,丢网站地址进去自动化跑就好了。
    GeruzoniAnsasu
        4
    GeruzoniAnsasu  
       2021-11-13 14:58:38 +08:00   ❤️ 1
    废老大劲揣摩了一下 lz 想说啥

    我觉得 lz 得对安全有一个体系化的认知,比如最起码可以把「 att&ck 」 指出的各个名词都先认一遍。

    扫网站结构
    扫备份文件
    扫站长信息
    根据站长信息扫账号 /密码泄露
    撞库
    根据站长信息钓鱼 /水坑攻击
    扫站长的其它站

    以上所有的这些都发生在「 Initial Access 」之前,
    网站结构可能会暴露后台位置或框架信息
    备份文件会泄露加密算法
    信息泄露和撞库不用说
    钓鱼邮件留意过吗,存储型 xss 呢
    开源平台上有传过自己的其它作品并且与目标共享一部分逻辑或代码吗

    再强调一遍,所有这些都发生在「 Initial Access 」之前,也就说,当攻击者尝试去打公开 exp 或者试着访问你的后台之前,就已经存在很多能击穿站点的可能性了


    然后再说说注入,sql 注入不仅仅只是猜个表,猜个密码,早年 mssql 可以直接通过注入写入存储过程来执行 cmd 命令听说过吗,虽然现在不行了,但注出个上传文件存放路径还是很可能的吧?然后万一后台配得不好有些非预期的解析行为把用户上传的图片当成 php 脚本执行了呢?对吧

    除了 sql 注入,脚本语言写的后台可以注入「可被反序列化的对象」,或者「后台代码本身」,或者「一个用户上传的程序文件」,这些 lz 有考虑过吗


    burpsuite 只是个 http 请求调试器而已,你所谓的「暴力 burp 」跟「 while 1 curl -d 」其实都一回事,跟 burp 本身关系并不大。




    p.s. 还有一点,尽管「参数加密了」,但写在前端的加密代码能直接看到,写在后端的加密代码也不一定看不到,所以仅凭这个其实也不能确保安全性
    mitong3269
        5
    mitong3269  
       2021-11-13 15:07:48 +08:00 via iPhone
    好奇做的啥 rom ?方便说吗?
    x500
        6
    x500  
    OP
       2021-11-13 15:41:30 +08:00
    @magic996 有,但新服务器上把其它的演示后台撤了。php 后台只有这一个了。
    x500
        7
    x500  
    OP
       2021-11-13 15:59:05 +08:00
    @GeruzoniAnsasu 是的,这几天看资料时,梳理了一下,就找了几个网站,就走了下流程:先 ping 下,再端口扫描下,再目录扫描下,再用 msf 试下漏洞之类,然后就发现就走不下去了,最后都只能走暴力 burp 的思路。搜了几个贴子,照着他们的来:感觉要么是学生演示学校的本来就有帐户,要么就是他们手里有这个漏洞或是以前有这个后台的木马,要么就是弱密码。。。,实际上搜的几个,都没走通。
    主要是我以前没弄过,也没下载那些个以前漏的库,找了几个免费社工库,也没找到有用的。
    所以,还是想学习一下真实的操作。。。
    magic996
        8
    magic996  
       2021-11-13 15:59:41 +08:00
    @x500 还有一种可能就是丛你开发的那个工具入手或者钓鱼
    x500
        9
    x500  
    OP
       2021-11-13 16:00:44 +08:00
    @mitong3269 先做了个基础 ROM ,提供大部分功能,再在这个基础上按客户要求定制了
    x500
        10
    x500  
    OP
       2021-11-13 16:06:39 +08:00
    @magic996 那个工具是我随手写的,那朋友当时说是小工具,就花了几天时间写的,那个小工具确实是被破解了,我也没考虑加密什么的,就是简单的判断一下,登录处理一下。然后里面的服务器 IP 都被它们改了,导向到它们的服务器了,他们还围绕着这个小工具做了个公众号,社区,真是营销奇才。
    magic996
        11
    magic996  
       2021-11-13 16:09:08 +08:00
    @x500 那可真是个奇才哈哈
    Wanerlove
        12
    Wanerlove  
       2021-11-13 20:39:23 +08:00
    楼主建议下次发帖排下版...至少也要分个段.这么长没几个会有耐心看完
    wangkai0351
        13
    wangkai0351  
       2021-11-14 09:02:15 +08:00
    @x500 你的经验太少了,学习是一个循序渐进的过程,别想屠龙。
    x500
        14
    x500  
    OP
       2021-11-14 10:15:01 +08:00
    @Wanerlove 发的时候排了版,发出来后,就是这样了。。。
    x500
        15
    x500  
    OP
       2021-11-14 10:15:53 +08:00
    @wangkai0351 确实,刚开始学,感觉正在一个关隘处,请指点一下哈
    wangkai0351
        16
    wangkai0351  
       2021-11-15 08:41:19 +08:00
    @x500 请熟读 http protocol spec
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2883 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 12:56 · PVG 20:56 · LAX 04:56 · JFK 07:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.