登录口渗透测试方法论

免责声明
本文所述渗透测试方法仅用于合法授权场景下的安全研究，严禁用于未授权攻击。读者须遵守所在地法律法规，擅自使用相关技术造成的后果由行为人自行承担。作者不对任何滥用行为负责。

---

逻辑流程：信息收集 → 身份枚举 → 验证绕过 → 认证突破 → 逻辑漏洞 → 横向渗透

---

阶段一：信息收集与基础探测

目标：发现隐藏接口、敏感信息、默认凭证

1. 目录扫描

   • 工具：Dirsearch、御剑

   • 操作：扫描后台路径（如 /admin）、注册/重置接口（/register、/resetpassword）。

   • 衔接：发现接口后进入阶段五（逻辑漏洞测试）。

2. JS接口提取 & 敏感信息泄露

   • 工具：F12手动分析、FindSomething插件、URLFinder脚本

   • 操作：提取JS中的API路径、默认账号密码（如 admin:admin）。

   • 衔接：若发现默认凭证，直接尝试登录（阶段四）；若发现隐藏API，用于阶段五。

---

阶段二：用户身份枚举与爆破

目标：获取有效账号，为后续攻击提供入口

1. 用户名枚举

   • 特征：根据错误提示（如“账号不存在” vs “密码错误”）枚举有效账号。

   • 操作：输入常见用户名（admin/test/手机号），观察返回差异。

   • 衔接：结果用于密码爆破（步骤4）或社工攻击（阶段五步骤4）。

2. 测试账号探测

   • 常见账号：test/test1/admin/13888888888

   • 操作：直接尝试默认账号+弱口令（如 admin:123456）。

   • 衔接：若成功则进入后台；失败则结合密码爆破（步骤5）。

3. 密码爆破

   • 工具：BurpSuite Intruder

   • 操作：针对已知账号（如admin）使用字典攻击（弱口令/常见密码）。

   • 衔接：失败后转用SQL注入（阶段四步骤1）或万能密码（阶段四步骤2）。

---

阶段三：验证机制绕过

目标：绕过验证码、短信验证等限制

1. 图片验证码漏洞

   • 场景：

     1. 验证码复用（不刷新页面）

     2. 删除验证码参数绕过校验

     3. 拒绝服务（修改 width=999999 耗尽资源）

   • 衔接：绕过后提升密码爆破效率（阶段二步骤5）。

2. 手机号验证码漏洞

   • 攻击类型：

     • 短信轰炸：Repeater重复发送验证码请求。

     • 验证码回显：检查返回包是否泄露验证码。

     • 双发攻击：修改参数为 phonenumber=138,139 获取多用户验证码。

   • 衔接：用于任意用户注册（阶段五步骤3）或密码重置（阶段五步骤5）。

---

阶段四：认证突破（注入与前端漏洞）

目标：直接绕过登录认证

1. SQL注入

   • Payload示例：

     • admin' AND 1=1 #

     • ' OR 1=1 --

   • 操作：注入用户名/密码字段，触发逻辑绕过。

   • 衔接：失败后尝试万能密码（步骤9）。

2. 万能密码

   • Payload示例：

     • admin'=0#

     • false=false（逻辑表达式构造）

   • 操作：利用开发缺陷直接绕过密码校验。

   • 衔接：成功后进入后台，失败转XSS（步骤10）。

3. XSS漏洞

   • 场景：

     1. 登录参数插入 alert(1)。

     2. URL参数插入XSS Payload。

   • 衔接：窃取Cookie或配合社工攻击（阶段五步骤5）。

---

阶段五：逻辑漏洞与接口滥用

目标：滥用业务逻辑缺陷，实现越权操作

1. 注册/密码重置接口猜测

   • 路径猜测：/register.php、/resetpassword（结合阶段一结果）。

   • 衔接：发现接口后测试任意注册（步骤12）或密码重置（步骤13）。

2. 任意用户注册漏洞

   • 操作：

     1. 注册时修改手机号参数（如A→B）绕过验证码绑定。

     2. 覆盖已存在用户（步骤13）。

   • 衔接：注册成功后爆破弱口令（阶段二步骤5）。

3. 任意密码重置漏洞

   • 场景：

     1. 修改重置接口的 username 或 phone 参数。

     2. 绕过短信验证码校验（阶段三步骤7）。

   • 衔接：需先通过接口猜测（步骤11）或社工手段。

---

阶段六：横向渗透与持久化

目标：扩大攻击面，实现持久化访问

1. 返回包篡改

   • 操作：拦截登录返回包，修改状态码（400→200）或 "success":false→true。

   • 衔接：用于绕过前端校验（如弱口令登录失败时伪造成功响应）。

2. SSRF & URL跳转

   • Payload示例：?url=http://evil.com

   • 操作：探测内网服务或配合XSS窃取数据。

   • 衔接：需结合其他漏洞（如XSS）扩大影响。

---

阶段七：拒绝服务与覆盖攻击

1. 验证码拒绝服务

   • 操作：通过超大 width/height 参数（如9999999）耗尽服务器资源。

   • 衔接：作为辅助攻击干扰系统可用性。

2. 任意注册覆盖漏洞

   • 操作：注册同名账号（如admin）覆盖原用户数据。

   • 注意：避免覆盖高权限账号，优先使用测试账号（test1/test2）。

---

总结：优先级与工具链

1. 信息收集（目录扫描 → JS分析）

2. 身份枚举（用户名探测 → 密码爆破）

3. 验证绕过（验证码漏洞 → 短信轰炸）

4. 认证突破（SQL注入 → 万能密码 → XSS）

5. 逻辑漏洞（注册/重置接口 → 任意密码修改）

6. 横向渗透（SSRF → 返回包篡改）

工具链：Dirsearch + BurpSuite + URLFinder + SQLMap 核心逻辑：由浅入深，从低权限漏洞（信息泄露）逐步过渡到高权限漏洞（逻辑绕过）。