前言

　　在做安全測(cè)試的時(shí)候，隨著資產(chǎn)的增多，經(jīng)常會(huì)遇到需要快速檢測(cè)大量網(wǎng)站后臺(tái)弱口令的問(wèn)題。

　　然而市面上并沒(méi)有一個(gè)比較好的解決方案，能夠支持對(duì)各種網(wǎng)站后臺(tái)的通用檢測(cè)。

　　所以WebCrack就應(yīng)運(yùn)而生。

　　工具簡(jiǎn)介

　　WebCrack是一款web后臺(tái)弱口令/萬(wàn)能密碼批量爆破、檢測(cè)工具。

　　不僅支持如discuz，織夢(mèng)，phpmyadmin等主流CMS

　　并且對(duì)于絕大多數(shù)小眾CMS甚至個(gè)人開(kāi)發(fā)網(wǎng)站后臺(tái)都有效果。

　　在工具中導(dǎo)入后臺(tái)地址即可進(jìn)行自動(dòng)化檢測(cè)。

　　實(shí)現(xiàn)思路

　　大家想一下自己平常是怎么用burpsuite的intruder模塊來(lái)爆破指定目標(biāo)后臺(tái)的

　　找出返回包長(zhǎng)度大小不同的那一個(gè)，基本上就是所需要的答案。

　　那么WebCrack就是模擬這個(gè)過(guò)程

　　但是就要解決兩個(gè)問(wèn)題

　　如何自動(dòng)識(shí)別出要爆破的參數(shù)

　　如何自動(dòng)判斷是否登錄成功

　　識(shí)別爆破參數(shù)

　　對(duì)于這個(gè)問(wèn)題采用了web_pwd_common_crack的解決辦法

　　就是根據(jù)提取表單中 user pass 等關(guān)鍵字，來(lái)判斷用戶名跟密碼參數(shù)的位置

　　但是在測(cè)試中還發(fā)現(xiàn)，

　　有些前端程序員用拼音甚至拼音縮寫(xiě)來(lái)給變量命名

　　什么yonghu , zhanghao , yhm(用戶名), mima 等

　　雖然看起來(lái)很捉急，但是也只能把它們?nèi)考舆M(jìn)關(guān)鍵字判斷名單里。

　　如何判斷登錄成功

　　這個(gè)可以說(shuō)是最頭疼的問(wèn)題

　　如果對(duì)于一種管理系統(tǒng)還好說(shuō)，只要找到規(guī)律，判斷是否存在登錄成功的特征就可以

　　但是作為通用爆破腳本來(lái)說(shuō)，世界上的網(wǎng)站各種各樣，不可能去一個(gè)個(gè)找特征，也不可能一個(gè)個(gè)去正則匹配。

　　經(jīng)過(guò)借鑒web_pwd_common_crack的思路，與大量測(cè)試

　　總結(jié)出來(lái)了以下一套比較有效的判斷方式。

　　判斷是否動(dòng)態(tài)返回值并獲取Error Length

　　先發(fā)送兩次肯定錯(cuò)誤的密碼如length_test

　　獲取兩次返回值并比較

　　如果兩次的值不同，則說(shuō)明此管理系統(tǒng)面對(duì)相同的數(shù)據(jù)包返回卻返回不同的長(zhǎng)度，此時(shí)腳本無(wú)法判斷，退出爆破。

　　如果相同，則記錄下此值，作為判斷的基準(zhǔn)。

　　然而實(shí)際中會(huì)先請(qǐng)求一次，因?yàn)榘l(fā)現(xiàn)有些管理系統(tǒng)在第一次登錄時(shí)會(huì)在響應(yīng)頭部增加標(biāo)記。如果去掉此項(xiàng)可能會(huì)導(dǎo)致判斷失誤。

　　判斷用戶名跟密碼的鍵名是否存在在跳轉(zhuǎn)后的頁(yè)面中

　　這個(gè)不用過(guò)多解釋，如果存在的話說(shuō)明沒(méi)登錄成功又退回到登錄頁(yè)面了。

　　有人會(huì)問(wèn)為什么不直接判斷兩個(gè)頁(yè)面是否相等呢

　　因?yàn)闇y(cè)試中發(fā)現(xiàn)有些CMS會(huì)給你在登錄頁(yè)面彈個(gè)登錄失敗的框，所以直接判斷是否相等并不準(zhǔn)確。

　　還有一種計(jì)算頁(yè)面哈希的辦法，然后判斷兩者的相似程度。

　　但是覺(jué)得并沒(méi)有那個(gè)必要，因?yàn)橛胁煌南到y(tǒng)難以用統(tǒng)一的閾值來(lái)判斷，故舍棄。

　　關(guān)鍵字黑名單檢測(cè)

　　本來(lái)還設(shè)置了白名單檢測(cè)機(jī)制

　　就是如果有“登錄成功”的字樣出現(xiàn)肯定就是爆破成功

　　但是后來(lái)發(fā)現(xiàn)并沒(méi)有黑名單來(lái)的必要。

　　因?yàn)槭紫炔豢赡馨阉蠧MS的登錄成功的正則樣本都放進(jìn)去

　　其次在測(cè)試的過(guò)程中，發(fā)現(xiàn)在其他檢測(cè)機(jī)制的加持后，白名單的判斷變得尤其雞肋，故舍棄。

　　并且黑名單的設(shè)置對(duì)于萬(wàn)能密碼爆破模塊很有好處，具體往下看吧。

　　Recheck環(huán)節(jié)

　　為了提高準(zhǔn)確度，防止誤報(bào)。

　　借鑒了web_pwd_common_crack的思路增加recheck環(huán)節(jié)。

　　就是再次把crack出的賬號(hào)密碼給發(fā)包一次，并且與重新發(fā)送的error_length作比對(duì)

　　如果不同則為正確密碼。

　　在這里沒(méi)有沿用上一個(gè)error_length，是因?yàn)樵趯?shí)際測(cè)試中發(fā)現(xiàn)由于waf或者其他因素會(huì)導(dǎo)致返回包長(zhǎng)度值變化。

　　框架拓展

　　用上面幾種辦法組合起來(lái)已經(jīng)可以做到基本的判斷算法了

　　但是為了使WebCrack更加強(qiáng)大，我又添加了以下三個(gè)模塊

　　動(dòng)態(tài)字典

　　這個(gè)不用過(guò)多解釋，很多爆破工具上都已經(jīng)集成了。

　　假如沒(méi)有域名，正則檢測(cè)到遇到IP的話就會(huì)返回一個(gè)空列表。

　　假如域名是

　　那么就會(huì)生成以下動(dòng)態(tài)字典列表

　　后綴可以自己在腳本中定義。

　　萬(wàn)能密碼檢測(cè)

　　后臺(tái)的漏洞除了弱口令還有一大部分是出在萬(wàn)能密碼上

　　在WebCrack中也添加了一些常用的payload

　　可以自行在腳本里添加更多payload。

　　但是同時(shí)帶來(lái)個(gè)問(wèn)題會(huì)被各大WAF攔截

　　這時(shí)候黑名單就派上用場(chǎng)啦

　　可以把WAF攔截的關(guān)鍵字寫(xiě)到檢測(cè)黑名單里，從而大大減少誤報(bào)。

　　小插曲

　　用webcrack檢測(cè)目標(biāo)資產(chǎn)進(jìn)入到了recheck環(huán)節(jié)

　　但是webcrack卻提示爆破失敗。

　　手工測(cè)試了一下檢測(cè)出的萬(wàn)能密碼

　　發(fā)現(xiàn)出現(xiàn)了sql錯(cuò)誤信息

　　意識(shí)到可能存在后臺(tái)post注入

　　發(fā)現(xiàn)了sa注入點(diǎn)

　　這也反應(yīng)了對(duì)于后臺(tái)sql注入，webcrack的正則匹配還做的不夠完善，下一個(gè)版本改一下。

　　自定義爆破規(guī)則

　　有了上面這些機(jī)制已經(jīng)可以爆破大部分網(wǎng)站后臺(tái)了

　　然而還是有一些特(sha)殊(diao)網(wǎng)站，并不符合上面的一套檢測(cè)算法

　　于是webcrack就可以讓大家自定義爆破規(guī)則。

　　自定義規(guī)則的配置文件放在同目錄cms.json文件里

　　參數(shù)說(shuō)明

　　舉個(gè)例子

　　其實(shí)對(duì)于dz,dedecms,phpmyadmin等框架本身的邏輯已經(jīng)可以處理

　　添加配置文件只是因?yàn)槌绦蚰J(rèn)會(huì)開(kāi)啟萬(wàn)能密碼爆破模塊

　　然而萬(wàn)能密碼檢測(cè)會(huì)引起大多數(shù)WAF封你的IP

　　對(duì)于dz，dedecms這種不存在萬(wàn)能密碼的管理系統(tǒng)如果開(kāi)啟的話不僅會(huì)影響效率，并且會(huì)被封IP

　　所以配置文件里提供了各種自定義參數(shù)，方便用戶自己設(shè)置。

　　關(guān)于驗(yàn)證碼

　　驗(yàn)證碼識(shí)別算是個(gè)大難題吧

　　自己也寫(xiě)過(guò)一個(gè)帶有驗(yàn)證碼的demo，但是效果并不理想

　　簡(jiǎn)單的驗(yàn)證碼雖然能夠識(shí)別一些，但是遇到復(fù)雜的驗(yàn)證碼就效率極低，拖慢爆破速度

　　并且你識(shí)別出來(lái)也不一定就有弱口令。。。

　　所以就去掉了這個(gè)功能

　　總流程圖

　　一套流程下來(lái)大概是長(zhǎng)這個(gè)亞子

　　對(duì)比測(cè)試

　　找了一批樣本測(cè)試，跟tidesec的版本比較了一下

　　web_pwd_common_crack 跑出來(lái)11個(gè)

　　其中7個(gè)可以登錄。4個(gè)是邏輯上的誤報(bào)，跟waf攔截后的誤報(bào)。

　　webcrack 跑出來(lái)19個(gè)

　　其中16個(gè)可以登錄。2個(gè)是ecshop的誤報(bào)，1個(gè)是小眾cms邏輯的誤報(bào)。

　　webcrack比web_pwd_common_crack多探測(cè)出來(lái)的9個(gè)中

　　有5個(gè)是萬(wàn)能密碼漏洞，2個(gè)是發(fā)現(xiàn)的web_pwd_common_crack的漏報(bào)，2個(gè)是動(dòng)態(tài)字典探測(cè)出來(lái)的弱口令。

　　世界上奇奇怪怪的網(wǎng)站太多了，后臺(tái)登錄的樣式五花八門(mén)。

　　有些是登錄后給你重定向302到后臺(tái)

　　有些是給你重定向到登錄失敗頁(yè)面

　　有些是給你返回個(gè)登錄成功，然后你要手動(dòng)去點(diǎn)跳轉(zhuǎn)后臺(tái)

　　有些直接返回空數(shù)據(jù)包。。。

　　更神奇的是ecshop(不知道是不是所有版本都是這樣)

　　假如說(shuō)密碼是yzddmr6

　　但是你輸入admin888 與其他錯(cuò)誤密碼后的返回頁(yè)面居然不一樣。。。

　　因?yàn)榧尤肓巳f(wàn)能密碼模塊后經(jīng)常有WAF攔截，需要測(cè)試各個(gè)WAF對(duì)各個(gè)系統(tǒng)的攔截特征以及關(guān)鍵字。

　　總的半年下來(lái)抓包抓了上萬(wàn)個(gè)都有了。

　　因?yàn)橥ㄓ眯捅?，可能無(wú)法做到百分百準(zhǔn)確，可以自己修改配置文件來(lái)讓webcrack更符合你的需求。