万能密码/弱口令

先拿'or'='or'试一下，再试一下弱口令



遇到网络设备，基本像交换机、路由器、安全设备之类的，可以尝试一下默认密码



天融信防火墙，不需要证书 登录地址:https://192.168.1.254 用户名:superman 密码:talent 技术支持热线：8008105119



天融信防火墙，不需要证书 登录地址:https://192.168.1.254：8080 用户名:superman 密码:talent！23 遇到设备需要把旧设备配置备份下来，再倒入新设备基于console口登陆，用户名，密码跟web界面一致 system config reset 清除配置 save 保存 联想网御防火墙，需要证书（最好用IE浏览器登录）



登录地址:https://10.1.5.254:8889 用户名:admin 密码:leadsec@7766、administrator、bane@7766 技术支持热线：4008107766 010-56632666深信服防火墙（注安全设备管理地址不是唯一的） https://10.251.251.251https://10.254.254.254 用户名：admin 密码：admin 技术支持热线：4006306430



启明星辰 https://10.1.5.254:8889 用户名：admin 密码：bane@7766https://10.50.10.45:8889 用户名：admin 密码：admin@123 电脑端IP：10.50.10.44/255.255.255.0 技术支持热线：4006243900



juniper 登录地址:https://192.168.1.1 用户名:netscreen 密码:netscreen



Cisco 登录地址:https://192.168.0.1 用户名:admin 密码:cisco



Huawei 登录地址:http://192.168.0.1 用户名:admin 密码:Admin@123



H3C 登录地址:http://192.168.0.1 用户名:admin 密码:admin 技术支持热线：4006306430



绿盟IPS https://192.168.1.101 用户名: weboper 密码: weboper 配置重启生效网神防火墙GE1口 https://10.50.10.45 用户名：admin 密码：firewall 技术支持热线：4006108220



深信服VPN： 51111端口 delanrecover



华为VPN：账号：root 密码：mduadmin



华为防火墙： admin Admin@123 eudemon



eudemon Juniper防火墙： netscreen netscreen



迪普 192.168.0.1 默认的用户名和密码（admin/admin_default)



山石 192.168.1.1 默认的管理账号为hillstone，密码为hillstone



安恒的明御防火墙 admin/adminadmin



某堡垒机 shterm/shterm



天融信的vpn test/123456



使用burp弱口令爆破

使用Burp里的Intruder功能进行爆破，如何使用请看：如何使用FOFA挖到弱口令漏洞





扫目录

目录扫描也是一个存在惊喜的地方，说不定能扫描到后台未授权访问的链接、备份文件、编辑器、敏感信息等。

像后台登陆的网址看多了，常规的路径像www.xxx.com/admin/login.aspx(.php)老司机甚至不用御剑什么的工具跑，就能直接猜到。

一般碰到下面这种情况，可采用fuzz大法。一层一层fuzz，尝试寻找可利用的信息。



框架漏洞

1. 对一些CMS，已经比较成熟了，漏洞确实不好挖。如果网上（乌云，seebug，搜索引擎等）的历史漏洞没有复现成功，那一般情况下就只能寻找下逻辑漏洞、网站管理员配置错误或者弱口令什么的。

2. 对于一些不知名的框架，一般也可通过登陆界面底下的声明中找到开发公司和产品版本时间。

3. 在网上找找此公司产品是否爆出过漏洞。若是开源的框架，还可下载源码进行代码审计寻找漏洞。像java的站，登陆页面是.do或.action的网址。可尝试下 struts2 命令执行漏洞。

4. 又如thinkphp的CMS，可尝试下是否存在相应版本的命令执行漏洞。



逻辑漏洞

任意用户注册

注册用户不需验证码认证即可注册成功的情况下，可使用工具发包，恶意批量注册用户。



修改发送包邮箱尝试覆盖注册

1. 注册时显示某用户已注册；

2. 在注册新用户时抓包，更改自己的账号信息为admin用户；

3. 可能可以覆盖admin用户，重新注册成功。



任意密码重置

修改密码时使用其他人的手机号，可抓包更改成自己的手机号。自己手机收到验证信息并输入，可更改他人密码成功。



跳过验证

跳过验证步骤、找回方式，直接到设置新密码页面



短信轰炸



短信轰炸，一般人可能抓包重放失败后就放弃了。这里有个技巧

发送短信处一般每隔60秒才能发送一次



但若是发包时在手机号后加上一个空格、加号或换行符等特殊字符。然后重新发送，这时若发送成功，则说明可绕过限制。



此时在intruder模块只要持续递增空格就可造成无限短信轰炸



越权

越权访问目录



可越权访问到后台路径，网站组件配置文件，备份文件等，当然扫目录字典也要好。



修改身份标识



更改成功登陆的用户的身份标识，可能就能越权访问到其他用户的页面。

抓返回包



在登陆时返回包可能返回用户敏感信息，此时改一改参数说不定还能越权查到其他用户信息。



或注册、找回密码发送短信邮箱时，可能直接返回验证码等



在返回包里，更改下参数为true、success、1，可能就能未授权进入后台



看网站源码信息

当你思路枯竭的时候不妨看看源码，它是一块宝藏，说不定就能在里面发现惊喜。有些程序员会把后台的功能链接放在前端源码中,说不定就存在未授权访问，甚至有些奇葩程序员在前端代码存放测试的账号密码。