网站页面设计怎么分析专业广州网站设计

网站页面设计怎么分析,专业广州网站设计,优速网站建设工作室,青春网页制作素材1.前言 在公众号的前几篇文章中#xff0c;笔者分享了绕过图片验证码校验、密码错误次数校验等校验机制的文章。在评论区有师傅问了一个和密码爆破、喷洒有关的问题看到这个问题#xff0c;其实我心里是感慨万千的。因为在我刚入坑网安的时候#xff0c;一度非常看不起弱口令…1.前言在公众号的前几篇文章中笔者分享了绕过图片验证码校验、密码错误次数校验等校验机制的文章。在评论区有师傅问了一个和密码爆破、喷洒有关的问题看到这个问题其实我心里是感慨万千的。因为在我刚入坑网安的时候一度非常看不起弱口令这种攻击手法真男人就应该硬挖洞用弱口令也太没技术含量了。后面经验慢慢丰富一点了案例看得多了才发现弱口令无论在哪个时期都是yyds。这时候我也是尝试去找各种用户名和密码的字典github上有很多相关的项目用户名和密码字典也是眼花缭乱的多这种时候我选择困难症就上来了这么多字典大家都说自己是最好用的我该怎么选择呢而且这些字典一般都会分大小比如500条 1k条 1w条甚至更多我在爆破与喷洒的时候用多大的字典什么样的流程会比较合适呢本文主要就是分享笔者是如何解决这些问题的实际上当我们拼凑出一个好用的用户名和密码字典并且有一套好用的爆破与喷洒流程你会发现弱口令远比想象中多得多得多笔者无论是在护网还是在各家企业SRC的挖掘中都挖到过特别多弱口令问题。本文会先介绍如何构造好用的用户名和密码字典再介绍平时常用的一些流程。下面进入正题。2.如何构造一个好用的用户名字典这里我们其实可以回顾一下读者师傅反馈的情况。这位师傅使用几千量级的用户名字典和几千量级的密码字典去交叉爆破这实际上是用“短板”组合“短板”因为显然的几千量级的用户名并不能保证尽量覆盖所有常见的用户名也不能保证覆盖常见密码。最后就导致这样成功率不算太高的同时效率还不高。这位师傅后面也发现了应该要确保用户名尽量多密码要尽量精。事实上在我遇见的各种案例中喷洒确实非常重要这个我们后续再细说。还是回到正题。我们主要要打造一个好用的用户名字典但是量级也不能太夸张不然会拖累效率。我们首先基于前人的各种字典项目打造一个字典的“基础”。这里我举一些例子包括但不限于如下https://github.com/danielmiessler/SecListshttps://github.com/TheKingOfDuck/fuzzDictshttps://github.com/insightglacier/Dictionary-Of-Pentestinghttps://github.com/a3vilc0de/PentesterSpecialDicthttps://github.com/CrackerCat/SuperWordlisthttps://github.com/cpkkcb/fuzzDictshttps://github.com/huyuanzhi2/password_brute_dictionary实际上还有挺多的微信公众号或者其它搜索引擎搜索“渗透 字典”这样的关键词还能找到很多。这里不一一列举了。我们下载回来之后找到用户名相关的字典。一般能看到多种长度的从几百条的小型字典到十几万条的超大型字典。我们接下来要做的事就是把所有比较小的字典做一个合并去重。比如几百条几千条小几万条的那种用户名字典我们给它统统做一个合并去重。注意千万不要选择那种大几万条甚至十几万条的大字典也进行合并去重否则我们最后的字典会究极臃肿。这样做完合并之后我们就打造好了一个字典的“基础”这时候已经可以用了但是我们下面要做一些针对性补充添加一些数据让它变得更好用。第一个补充措施是我们要往里添加两位英文字符排列组合aa-zz三位英文字符排列组合aaa-zzz相关的字符串这样排列组合的字符串很好生成可以让GPT帮你写一个脚本去生成最后生成出来的数量级大概接近2w条。这么做的目的是什么呢这个主要是符合国内用户的一个经典习惯。比如我的名字叫张伟那我的用户名很可能就写成zw我叫张谋仁可能用户名就写成zmr。可以看到最常见的二字或三字姓名在这种规则下就会被缩写成两位英文字母的组合或三位英文字母的组合。因此我们只要排列组合出所有的可能性就能完全覆盖这种规则下的用户名。第二个补充措施是我们可以尽可能多收集国内常见的姓名的拼音形式比如上面提到的张伟用户名可能就是zhangwei很好理解。这个各种字典项目里应该也有也很容易找到还可以搜集常见的中文人名然后用python的pypinyin之类的库把中文人名转化为拼音问GPT就完事除了根据现有的这些项目去搜集还可以根据公安部的一些姓名调查报告去进一步完善将常见姓和名转化成拼音进行排列组合。这样补充数据是为了覆盖用户名是拼音的情况当然汉字博大精深我们这样收集到的也只是比较小的一部分够用就行。这种情况还有一个变种那就是我们可以搜集五百个或者一千个左右的常见中文名更多点也无所谓能找到就行注意是中文名不是拼音然后对其进行url编码这是为了对抗使用中文名作为用户名的情况。我发现一些比较老的系统真就挺喜欢用中文名作为用户名的。第三个补充措施和英文用户名、英文单词有关我们可以搜集一些常见的英文单词尤其是名词添加到字典里上面的各种字典项目里应该也有一些常见英文用户名添加进我们的字典里即可。第四个补充措施和测试手机号有关https://github.com/TheKingOfDuck/fuzzDicts这个项目里有一个test-phone字典里面都是一些常见测试手机号比如13888888888等等很多系统的用户需要填手机号并且可以把手机号作为用户名去登录你会发现很多管理员和测试用户的手机号一般都是13888888888这种第五个补充措施是一些用户id和简单的编号这个不需要太多比如001、0001、111111这类主要是1和0的位置去排列组合。这个是应付一些数字编号比如工号、用户id作为用户名的场景。第六个补充措施是对一些常见用户名进行拓展什么意思呢比方说admin、test用户实际上常见的不只是admin、test还有admin1、test1admin01、test01admin001、test001对上面的字典进行排列组合即可。这个可以从top500之类的字典作为基础往每一行字符后面拼接1 01 001 123之类的数字很ez的。第七个补充措施是加一些payload比如最经典的注入payloadadmin--admin or --admin or 11--or 11--不过这种payload就算要加也是集中加到字典的最后因为有waf的情况下跑这些payload毫无疑问是要被拦截的有风险的东西还是放到最后来跑。这里还有一些奇思妙想上述字典的规则主要是针对我国然而每个国家的人肯定都有自己独有的一些用户名命名习惯比如我国就很常见用自己姓名拼音作为用户名那其他国家呢或许可以想办法联系其他国家的网安从业者从他们手里要一些符合他们国家特色的用户名字典再者历史上泄露的用户名密码等数据不在少数或许有大数据大手子可以尝试搜集这些数据然后统计一下高频用户名和密码总之通过上述步骤我实测可以做出一个比较强大的字典去重后最终应该会在4w-6w条用户名效率比较高的同时也能覆盖大量用户名就很平衡。3.如何构造一个好用的密码字典首先还是按照上述步骤从各个字典项目里找小型一点的密码字典合并去重作为基础。然后我们还得补充一些东西。第一个要补充的东西就很有点复杂简单来说是键盘顺序排列组合的一些密码。比如QWER1234QAZWSX123也可能是九宫格位置相关的一些密码比如笔者就见过456852159753乍一看这种不像是常规弱口令。但实际上还真是456852是数字九宫格中间的十字159753则是九宫格斜线交叉。这种就有点抽象而且很考验想象力了QWER1234这种一般的字典里应该有但是再复杂一点的键盘顺序就不一定有了。只能想办法调教GPT生成了。第二个要补充的东西也是一种常见的密码规律。大概是关键用户名数字年份或者关键用户名特殊字符数字年份。典型例子有Admin123admin2024Admin!#123Test123Test!2024等等。这个用一些字典生成器倒是很好生成出来这样生成的字典可就不好说多大了得自己控制一下我最后整出来大概是6w多条密码。以上我们就讲完了怎么去构造比较好用的用户名或密码字典。不过关于字典还有一些可以说的我们放到后续的爆破以及喷洒流程来介绍。4.常规喷洒-爆破流程进入喷洒与爆破的正题了。我个人是喜欢先喷洒再爆破。喷洒很好理解我们固定密码为123456、111111或者admin一般123456就够了然后导入用户名字典比方说对所有用户喷洒123456这个密码如果目标安全做的拉跨一般这一步就能爆出目标的部分用户凭据了。即使不行我们一般也可以通过状态码、返回包长度确定哪些用户存在。比如最常见的通过长度和返回内容进行判断这里我们假设第一轮用123456去进行喷洒总之大部分情况下密码正确、密码错误但用户名正确、密码和用户名都错误三种情况会分别对应不同的返回长度或者不同的响应内容有时候也会对应不同的响应码多注意即可。这里值得重点说明的一种情况就是假设返回长度、状态码都一样或者很类似但是响应内容不同我们喷洒了几万个用户名总不能一个个点开去看结果吧这种情况我们要怎么去筛选存活用户呢例如下面这样这种情况可以借助Grep -Extract功能我们注意到代表用户是否存在的响应内容是放在标签内的可以借助这个功能做匹配然后我们的结果会多出一列这一列就是根据我们自定义的规则在响应信息里匹配的结果虽然中文结果会乱码但是点一下排序就可以把不同结果的排到上面来我们就可以快速确认哪些用户存在了当然这里是只有一个登录接口做演示实战环境里不只能用登录接口去判断用户的存在情况还有一些比较常见的例如注册用户接口、修改密码接口判断用户存在基本一找一个准。很多时候登录接口做了处理返回“用户名或密码错误”且无法通过返回长度、响应码进行判断的时候可以另寻别的接口尝试对用户的存在情况进行判断。本文就不演示了。总之一般来说固定密码为123456进行喷洒大概率能直接找到一些弱口令用户。就算找不到也有可能找到存活用户比如上面找到了admin、root、test三个用户后续对找到的存活用户进行密码爆破即可。5.不知道存活用户的喷洒-爆破流程经典情况无论是用户名不存在还是用户名存在但密码错误统一返回“用户名或密码错误”这种情况又要怎么办呢如果没有其他接口配合我们是很难确定存活用户了我们也不可能用5w的用户名和6w的密码字典去交叉爆破量级达到30亿了都。这种情况下我们首先可以挑一些常见的高价值用户名进行爆破测试例如admin、root、test等等这种没什么好说的。在这种情况下也可以多试几种常见的弱口令进行喷洒不止123456比如还可以试试上面提到的111111、admin、888888等等。关于这种情况还有一种我觉得很重要的流程需要补充可以让喷洒出货概率提高很多。简单来说我们上面的喷洒大概是这样用户名 密码admin 123456root 123456test 123456zhangwei 123456我们想办法构造用户名 密码admin admin123root root123test test123zhangwei zhangwei123也即我们的密码字典其实就是用户名字典后面补一个123我们没必要专门做一个这样的密码字典用burp实现上述效果即可Burp使用pitchfork模式标记两个地方在password参数后面加一个123然后设置payload的时候两个位置都选择我们的用户名字典即可效果大概是下面这样之所以有这一步是我发现实战中有些站点生成用户后喜欢把用户的密码设置成用户名拼音123有时候还会设置成密码就是用户名还有很多用户在设置自己密码的时候就是很喜欢用户名拼音123的规则所以我在实战中多加这么一步真的出过不少洞。而且也不只是拼接123还可以试试下面这些密码规律结合用户名字典去做喷洒用户名123 用户名年份 用户名首字母大写123可以让喷洒成功率提高很多。6.特殊情况之手机号作为用户名也是非常常见的一种情况就是一些登录口可能只让我们用手机号密码去登录。这种情况其实用前文提到的测试手机号字典去喷洒爆破就行一般都能找出一些测试手机号测试用户。如果你不满足于此也可以通过爱企查或者其他类似的网站去找目标相关的手机号例如目标各种网站如果有“联系我们”之类的界面也可以找到一些手机号可以搜集这些手机号进一步喷洒爆破。7.特殊情况之邮箱作为用户名这种情况就更有意思了。这种情况我喜欢先确定目标公司的企业邮箱是什么一般都和他们的主域名有关。比如某知名视频网站bixxbixx.com企业邮箱大概率是bixxbixx.com这些爱企查都很好查的。我们在针对使用邮箱作为用户名的情况时实际上可以在我们用户名字典的基础上直接拼接一下目标的企业邮箱后缀比如这样基本也能去找到很多邮箱用户名因为大部分企业邮箱的规律也就是 员工姓名拼音邮箱后缀。如果你并不满足于此实际上还有一些网站可以找目标相关的邮箱例如https://phonebook.czwww.skymem.infohttps://hunter.io/等等同理啊目标的“联系我们”相关界面也是有可能有邮箱相关信息的或许可以整一些爬虫从目标的各个资产批量提取这些信息8.特殊情况之密码强度限制这种情况也很好懂比如“至少一个字母 一个数字 一个特殊符号的六位数密码”。遇到这种我们也有专门的字典。但是这里需要注意一个细节就是这个密码长度限制到底是在前端还是在后端。为什么要在意这个呢如果这个限制存在前端那么未必所有的用户都真的遵循这个规则早期的一些测试用户可能用的还是弱口令因为这些用户的密码可能是直接导入到数据库里的或者管理员在后台生成配置的和你前端的注册、登录之类的功能就没啥关系。所以如果这个限制仅存在于前端抓包请求发现没有相关限制那我们还是可以用我们自己的密码字典去找找机会。不过如果这个限制是在后端登录接口写死的就是你登录的时候后端接口返回信息告诉你密码不符合规则那只能老老实实用上面满足条件的字典了。9.针对目标专门设计密码字典去进行爆破这个主要是针对密码爆破的建议把上面的常规流程走完再来搞这个。简单来说当我们上面的流程没什么收获但是我们又要对高价值用户进行密码爆破如admin、root等用户的时候可以考虑这个流程。可以通过目标公司名或域名关键词、年份、数字、特殊字符去生成目标专属的密码字典还是以某视频网站Bixxbixx为例也属于是碰运气的操作如果目标并不是那么重要实际上也不一定要走这一步。10.总结综上笔者就简单分享了个人的一些见解包括如何构造一个用得顺手的用户名和密码字典以及如何去进行爆破与喷洒流程。总的来说我们还是以喷洒起手既有概率一把梭也可以帮我们拿到很多信息喷洒没结果再对找到的存活用户进行单点密码爆破。这样就可以很大程度上避免短板效应把我们用户名字典和密码字典都利用到极致同时结合之前提到过的对抗验证码、错误次数的姿势以及JS信息搜集的一些姿势应该就可以构造起一个比较完善的密码喷洒与爆破体系了。当然应该还有一些笔者没想到的好用的流程和姿势也欢迎读者朋友补充。学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】