暴力破解学习

最新推荐文章于 2023-07-16 10:28:05 发布
最新推荐文章于 2023-07-16 10:28:05 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: 知识点学习 靶场测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Goodric/article/details/112953560
版权

暴力破解

暴力破解的产生是由于服务器端没有限制,导致攻击者可以通过暴力的手段破解所需信息,比如用户名、密码等。
如果破解一个四位数字的验证码,那暴力破解的范围就是0000~9999,所以暴力破解需要一个庞大的字典。 一般我们用 burpsuite 的
intruder 模块进行暴力破解,它可以通过文件方式载入 .txt 文本的字典。关于字典可以到网上下载,样式非常多。
暴力破解的原理就是通过字典里已有的那些字符去一个个尝试登录,理论上说,只要字典足够大,这样的穷举就能够成功。
不过字典越大,工具尝试的次数就越多,那消耗的时间就越长。

暴力破解流程
尝试登录,进行抓包,查看数据包中的信息,观察含有的元素元素,比如可能含有token。

查看返回信息,确认目标是否存在暴力破解的可能。

暴力破解漏洞修复
1、如果用户登录次数超过设置的阈值,则锁定账号。

2、如果某个IP登录次数超过设置的阈值,则锁定IP。(这个方式有一个缺陷,可能一个IP有多个用户使用,那可能导致用户无法登录)

3、使用安全的验证码,比如通过发送手机验证码。

下面通过 pikachu 靶场中的暴力破解模块对几种暴力破解的方式进行测试。

基于表单的暴力破解

进入可以看到一个登录界面。
在这里插入图片描述
先尝试登录,随便输入123/123,可以看到返回信息为不存在,也没有其他的什么验证机制。
在这里插入图片描述
用 burp 抓包,可以看到他的一些元素,只有账号和密码。
在这里插入图片描述
按 ctrl + i 把包发送到 intruder 模块进行暴力破解。

注意如果只爆破一个参数的话,选择 sniper 。但是我们这里需要爆破两个参数,就选择cluster bomb。
在这里插入图片描述
如果标记的信息不只是账号和密码或存在错误,那我们需要重新进行标记。

先点 clear 对标记进行清除,然后在选中我们要爆破的账号密码123/123点击 add 标记。
在这里插入图片描述
在playload 一栏中,payload set处选择2,即爆破2个参数。

进行载入字典,可以点 load 载入字典文件,也可以在 add 那一行进行手动输入可能存在的账号密码。
在这里插入图片描述
最后点击 Start attack 进行爆破,可以看到正在爆破的界面。

通过在length一项来判断,长度不一样的即为爆破成功的信息。
在这里插入图片描述

验证码绕过(on server)

同样是一个登录界面,与前面相比多了一项验证码的输入。
在这里插入图片描述
尝试随便输入123/123/123,这里我们知道输入的三项都是错误的,但是返回信息只显示了验证码错误。
在这里插入图片描述
再尝试随便输入123/123,验证码按要求正确输入。

这个时候才回显了账号或密码错误。
在这里插入图片描述
进行抓包,可以看到数据中的参数与前面相比多了一项vcode,就是输入的验证码的参数。
在这里插入图片描述
这个时候,我们先随便输入账号密码123/123,输入要求的正确的验证码,然后按 ctrl + R 尝试发送到 repeater 模块测试回显。

在箭头所指的搜索栏进行搜索回显信息的关键字(前面我们已经测试了不同填写方式的两种回显),然后就可以看到成功回显了信息,指我们的 username or password 错误,但是验证码正确。
在这里插入图片描述
我们再尝试修改这条请求的信息,把账号或者密码修改一下,再次发送。

根据回显信息得知得到的仍然是账号密码错误,验证码正确的结果。
在这里插入图片描述
也就是说,我们现在抓到的这个包可以直接进行爆破,因为在这个包验证码是可以一直用的,和前面一样爆破账号和密码这两个参数。

回到代理界面,把包发送到 intruder 模块进行爆破,方法和前面一样。
在这里插入图片描述

验证码绕过(on slient)

界面中同样需要输入账号密码、验证码三项。
在这里插入图片描述
老样子,尝试随便输入123/123/123,可以看到有弹窗出现显示验证码错误。
在这里插入图片描述
按要求输入正确的验证码后,就回显了 username or password 错误。
在这里插入图片描述
在这之前,似乎和前面那题没有什么区别。
再用 burp 抓包看看,这里也和前面一样,有账号密码、验证码三个参数。
在这里插入图片描述
再把包发到 repeater 模块进行测试。

这个时候发现即使是错误的验证码,他的响应却没有显示验证码错误,而是显示 username 或 password 错误。
在这里插入图片描述
那这样就证明其实这个验证码是形同虚设的,后端不会对验证码进行验证。

既然验证码正不正确这个请求的响应都是一样的,那就可以直接去爆破了,爆破账号和密码这两个参数。

虽然到此可以进行暴力破解出账户和密码了,不过我们还可以了解一下这个验证码的源码。

在刚刚 repeater 模块测试的时候,可以在响应界面明显发现一串 JavaScript 代码,是与验证码有关的。

这里就体现了前面我们尝试验证码错误的时候是以弹窗的方式出现,而不是和前面一样在界面上回显信息。

而且这个验证码的验证是在客户端上实现的,后台不会对错误的验证码进行验证。

这个 JavaScript 代码里有 createcode() 和 validate() 这两个函数。

createcode() 函数会从0-9和26个大写字母中随机挑选5个作为验证码,然后用 validate() 函数去验证我们输入内容的准确性。
在这里插入图片描述
再回到 pikachu 网页,按 F12 查看源代码,用定位符找到验证码位置处的代码,可以看到每次出现验证码,都会调用createcode() 函数改变验证码。
在这里插入图片描述

token防爆破

进入看到是一个普通的登录界面。
在这里插入图片描述
随便输入123/123,看看是否有啥异常。

显示账号或密码错误,用 burp 进行抓包。

可以看到除了 username 和 password ,还有一个 token 参数。

token 参数就是用来防止暴力破解的,因为 token 是一个随机值,无法被破解。

pikachu靶场后面的 csrf 测试模块中也有 token 这个东西用来防 csrf 漏洞。

这样看来 token 参数是一个很nb的东西(很安全的东西)。
在这里插入图片描述

Goodric
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSH密码暴力破解及防御实战
11-30
太狠了吧,SSH密码暴力破解及防御实战,注意安全了,下载学习
burp跑字典,验证码破解4/6
YH,生活越来越好
05-16 4985
Burp Suite 是一种常用的网络安全测试工具,它可以通过暴力破解的方式来。如何使用 Burp Suite 进行呢?
分享一个验证码暴力撞库漏洞的案例
测试小工
11-02 4187
记录一个验证码暴力破解的案例,安全问题不容忽视呀。 某公司接到用户反馈,应用存在安全漏洞,通过技术手段可以在无手机情况下,获取验证码,直接修改密码成功。如果用户密码被他人修改成功,直接涉及到资产损失问题,无疑是一个非常严重的漏洞。 通过跟用户交流,他是通过暴力撞库的手段,去匹配正确验证码,由于后端服务没有做次数限制,所以可多次试错,通过程序发送请求,很容易就得到正确的验证码,从而修改用户密码。 回过头,看看正常的密码重置流程 进入用户手机号登录页面 点击「忘记密码」 ,输入手机号 接收四位数验证码,填写
验证码爆破绕过
小刚的博客
04-02 8116
一,验证码目的: 区分用户是计算机和人 证明自己的身份,手机短信验证码,微信登录等 大多数的网站都会在很多地方设置各种验证码. 防止而已破解密码,刷票等,防止黑客对某一个特定的注册用户进行爆破。 二,验证码种类: 传统字符验证码: 由数字或者汉字组成的图片,通过添加各种噪点增加识别难度,可通过OCR技术进行破解 当验证码只有4位,可直接爆破数字验证码。 如果是6位,在半小时内无限制提交也可以暴力破...
Web攻防之暴力破解(何足道版)
weixin_30488085的博客
12-01 1105
原创文章 原文首发我实验室公众号 猎户安全实验室 然后发在先知平台备份了一份 1 @序   攻防之初,大多为绕过既有逻辑和认证,以Getshell为节点,不管是SQL注入获得管理员数据还是XSS 获得后台cookie,大多数是为了后台的登录权限,假若我们获得一枚口令,都是柳暗花明。不管口令复杂与否,只要在构造的字典内都是爆破之结晶。   Web形态及业务之错综,我们暂可将能够自定义...
密码暴力破解
ssslq的博客
02-28 1126
密码破解
手机忘记密码怎么办? 帮你快速解锁手机的十大软件请收好
qq_23996309的博客
07-16 4649
有许多不同类型的手机锁,这些锁对于手机的用户或所有者来说可能非常烦人和恼人。这些锁可称为手机锁、SIM 锁、主锁或运营商锁。这些锁实际上是手机的实际限制。 为了仅在有限的国家/地区阻止电话访问,该区域之外的任何其他人都无法使用。 手机解锁如何工作? 手机解锁是通过消除手机络限制来实现的。这通常是通过在手机中输入解锁代码来完成的。该代码对于您手机是唯一的,并将您的手机忽略锁定。之后您的手机即可免费使用任何网络的 SIM 卡。 将手机解锁的十大最佳软件
手机解锁方法:8个顶级的 Android 手机解锁软件
热门推荐
qq_23996309的博客
03-13 2万+
一般来说,太简单的密码是不安全的,所以我们设置一个安全的密码,可能会稍微复杂一点。然而,我们可能经常会忘记复杂的密码并锁定我们的 Android 智能手机。 8个顶级的 Android 手机解锁软件 如果您遇到过这种情况并且正在寻找一种有效的方法来解锁您的 Android 设备而不丢失数据,您可以看看这篇介绍 8 款最佳 Android 手机解锁软件的文章。
利用暴力攻击破解登陆密码
qq_42801460的博客
06-02 588
之所以出现这种情况,是因为这种类型的软件相对容易访问,数量也很多,同时默认情况下允许远程使用,而且大部分都是自定义的,此外,它们还会随着层出不穷的Web技术而不断变化。为此,可以从下拉菜单中添加一个字典项目,然后搜索“password”,即可找到由最常用的密码组成的列表,以及从以往著名的数据泄露事件中收集的实际密码所组成的列表。如果正确的实现的话,基于表单的身份验证应该对自动化的密码猜测具有很强的“弹性”,但是说起来容易做起来难呀,毕竟现实中有太多的特殊情况,而这些都是需要给予特殊处理的。
pycuda加速暴力破解zip密码算法
09-26
pycuda加速暴力破解zip密码算法,仅用于学习交流,请勿用于商业用途和其他用途。如需用于非学习交流用途,请先私信联系我。
4位数验证码
06-21
java随机生成四位验证码 数字大小写字母
4位验证码和6位验证码.zip
06-05
纯数字的验证码,内包含4位和6位纯数字字典。适合于burpsuite去爆破。一般短信的有效时间为30分钟。时间都是够的。
4位数字解密.vi
09-06
破解Labview程序四位数字保护密码程序,感兴趣可自行开发多位密码,穷举法,密码位数越多,解密时间越长!
python实现暴力破解.py
06-18
使用python简单实现dvwa中的暴力破解,该代码仅用于学习,禁止赖用,不得用于违法活动。
python编写暴力破解FTP密码小工具
01-20
python具体强大的库文件,很多功能都有相应的库文件,所以很有必要进行学习一下,其中有一个ftp相应的库文件ftplib,我们只需要其中的登录功能,然后利用多线程调用相应字典里面的字段进行登录,还能根据自己的需要...
python编写暴力破解zip文档程序的实例讲解
12-25
编写暴力破解Zip文件要从学习zipfile库的使用方法入手,首先打开Python解释器,用help(‘zipfile’)命令来了解这个库并重点看一下ZipFile类中的extractall()这个方法 ZipFile extractall() 让我们来写一个脚本...
Python 开发一个帐号密码暴力破解程序
weixin_46703850的博客
09-22 3463
支持FTP、MySQL、SSH、Sqlserver协议 功能:每次破解可以设置时间间隔,破解中断下次破解可以读取历史继续上一次的破解。支持多线程,可自行设置线程数.
1、使用BurpSuite暴力破解登录密码
D516701881的博客
12-17 1万+
1、使用BurpSuite暴力破解登录密码1.环境准备1.1 PC端设置BurpSuite设置代理1.2.靶机环境2.密码破解漏洞2.1.漏洞简介2.2.常见应对策略2.2.1.强密码策略2.2.2.验证码策略2.2.3.锁定策略2.2.4.加密策略2.2.5.TOKEN验证码3.密码破解攻击3.1.环境配置3.2.抓包3.3.配置攻击3.3.1.攻击类型3.3.2.目标字段3.3.3.有效载荷3.3.4.选项配置3.4.执行攻击 1.环境准备 1.1 PC端设置BurpSuite设置代理 打开BurpSu
暴力破解:破解强力保护、IP 封锁(连续提交 3 次错误登录封IP 的情况下)
anlalu233的博客
08-05 1043
首先制作用户名和密码的字典 制作用户名字典: 我是采用wiener carlos重复100次的方式制作: strings = "wiener\r\ncarlos" # 字符串变量 for i in range(100): print(strings) 制作密码字典: 使用EverEdit 注意先将第一行空着再替换: 替换完后是这样的: 再将空的第一行删掉: 因为网络问题,还是把线程调到1为好,要不然大概率出错 ...
pikachu暴力破解python代码
最新发布
09-06
很抱歉,但是根据提供的引用内容中没有提到pikachu的暴力破解Python代码。其中引用提到了Pikachu是一个带有漏洞的Web应用系统,可以作为Web渗透测试学习的靶场。引用提到了暴力破解的定义和缺点,但没有具体提到与pikachu相关的暴力破解Python代码。引用则是关于开发者的一些吐槽。 如果你需要了解关于pikachu的暴力破解Python代码,建议你参考pikachu官方GitHub页面提供的资源和文档,或者在相关的安全社区或论坛上搜索相关的资料。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Pikachu-漏洞练习平台做题记录+原理解析(1)暴力破解](https://blog.csdn.net/ON_Zero/article/details/126380973)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值