概述
Burte Force(暴力破解)概述
“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。 这里的认证安全策略, 包括:
1.是否要求用户设置复杂的密码;
2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp;
3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等);
4.是否采用了双因素认证;
...等等。
千万不要小看暴力破解漏洞,往往这种简单粗暴的攻击方式带来的效果是超出预期的!
你可以通过“BurteForce”对应的测试栏目,来进一步的了解该漏洞。
从来没有哪个时代的黑客像今天一样热衷于猜解密码 ---奥斯特洛夫斯基
基于表单的暴力破解
2.账号密码随便输入,登录抓包,右键发送到intruder模块
3.进行爆破
验证码绕过(on server)
1.进入靶场,可以看到本靶场需要输入验证码
2.账号密码随便输入,登录抓包,右键发送到Intruder模块,先发到repeater重发器重放
3.再次发送发现验证码可重复使用,可以直接爆破
4.这一关的验证码是在后台服务端生成后放到前端客户端,如果后台服务端验证码刷新了,则上一次的验证码失效。
抓包后,发现验证码参数,经测试直接放入Intruder模块爆破即可,不要在Proxy->Intercept模块放包后刷新页面,因为刷新页面后后台服务端的验证码也会随之刷新,从而使上一次验证码失效,导致爆破不了。
5.接下来的步骤同上一题
6.请求包密码为123456,带着验证码参数请求
验证码绕过(on client)
1.进入靶场,可以看到本靶场需要输入验证码
查看前端代码,我们可以发现前端验证码使用的是前端js脚本生成的
2.客户端自己验证自己,就是一切都是用户说了算。f12开发者模式查看网页源码发现验证码的生成和验证码的校验都是通过前端实现的
3.账号密码随便输入,登录抓包
4.过关方法
(1)这一关的验证码是在前端客户端生成的,所以将验证码参数删除,右键发送到Intruder模块
(2)禁用浏览器js脚本,验证码就不会显示了
禁用js后效果展示
(3)只要正确填写过一次验证码(注意它这里的验证码是区分大小写),让burp抓到包就可以爆破了
5.接下来的步骤同上一题
6.可以看到请求包中并没有验证码参数
token防爆破
通过测试(抓包),发现token会变,所以不能用以前简单的爆破去跑字典了,会提示错误的token
所以需要在第n次爆破的时候,使用第n-1次返回包中携带的token,才能通过验证
(至于游客身份登录的token哪里来,其实在你第一次点开链接的时候,服务器给你的返回包里就已经有一个token了)
开始爆破
已知用户名是admin
先随便输一下抓个包
发到repeater,go一下,获得本次返回包中携带的token
再转发到inturder
标记下需要跑的参数,使用鱼叉模式
第一个参数是密码,输点进去
因为token都是一次性的,线程需要调成1
我们跑token需要使用这个模块,点击add
下面的框没有包的话点一下refetch response
这时候只要选中token的值,左上角就会标记好它在包中的位置,点击ok
第二个参数选择recursive grep模式,在下面这个框里粘贴repeater里获取的新的token
之后,开始爆破
第一个是空值用来对比
第四个就是正确密码
至于第二个为什么也是空值长度,看了眼返回包,是token错误
本文版权归作者和CSDN平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。