一、暴力破解原理
暴力破解
“暴力破解”(Brute Force Attack)是一种穷举攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。
暴力破解密码字典生成
密码字典可以从网上下载,或者自己自备密码字典。
pydictor 是一个使用 python 语言开发,遵循 GPLv3 协议的开源命令行工具,主要用来帮助安全研究人员生成称心如意的暴力破解字典, pydictor以功能强大、简洁实用、适用场景多、自定义程度强为开发目标。
项目地址: https://www.github.com/landgrey/pydictor.git
安装方法:
| git clone https://www.github.com/landgrey/pydictor.git cd pydictor/ chmod +x pydictor.py python pydictor.py |
用法示例
d: 代表数字(digital)
L: 代表小写字母(lower case letter)
c: 代表大写字母(Capital letter)
| python pydictor.py -base L --len 2 3 --encode b64 python pydictor.py -base dLc --len 1 3 -o /awesome/pwd python pydictor.py -base d --len 4 4 --head Pa5sw0rd --output D:\exists\or\not\dict.txt |
SecLists
SecLists是安全测试人员的伴侣,是在安全评估期间使用的多种类型列表的集合,列表类型包括用户名字典,密码字典,URL字典,敏感数据模式,模糊有效载荷,Web Shell字典及常见的WebShell等,目的是使安全测试人员可以方便的继续渗透测试。
Github地址: https://github.com/danielmiessler/SecLists
安装方法:
| apt install seclists |
Burp Suite使用
Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示 HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描 web 应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。
burp suite包括以下几个模块
- proxy:代理,默认地址是127.0.0.1,端口是8080
- target:站点目标,地图
- spider:爬虫
- scanner:漏洞扫描
- repeater:http请求消息与响应消息修改重放
- intruder:暴力破解
- sequencer:随机数分析
- decoder:各种编码格式和散列转换
- comparer:可视化差异对比功能
暴力破解的防御
- 遵循最小授权原则:删除多余用户、用户最小授权
- 仅仅开放必须的服务和端口,不用的端口/服务务必关闭
- 密码策略:密码的复杂性。大小写字母+数字+特殊字符+8位以上+定期更换
- 不用使用默认的用户名和密码
- 使用验证码: 图片验证码、短信验证码等
- 基于口令的登录,修改为基于公钥的登录
- 启用错误登录次数限制,例如错误登录3次及以上,限制登录10分钟等
- 其它登录限制: 指定MAC地址、IP地址的主机才能登录
二、暴力破解实例
1.下载并解压缩xampp到C盘根目录,然后运行xampp-control.exe
注意:
- 可能需要运行库: 微软常用运行库合集.zip
- 如果本机已经安装了PHP/MySQL, WEB服务器,可能会端口冲突
2.下载并解压缩pikachu靶场文件到 xampp路径的htdocs目录下(注意phpstydy-pro放在WWW目录下)
3.在phpstudy-pro面板中启动Apache, MySql
4.浏览器运行: localhost/pikachu
5.完成基于表单的暴力破解
注意:
- 需要安装Firefox浏览器
- 需要配置Firefox的代理
- 需要运行BurpSuite,并进行抓包,然后在Intruder(入侵模块)中, 分别测试4种暴力破解模式: sniper(狙击手)、Battering Ram(攻城锤)、PitchFork(音叉)、ClusterBomb(集束炸弹), 并使用如下字典(或者使用SecLists提供的字典):
| admin admin123 pikachu 123456 888888 admin123 passwd 000000 abc123 test qwerty 147852369 qwaszx asdfasdf root root123 iloveyou baby123 1a2b3c4d 9876543210 |
sniper(狙击手):
Battering Ram(攻城锤):
PitchFork(音叉):
ClusterBomb(集束炸弹):
6.完成基于验证码的暴力破解
验证码绕过(on client):
验证码绕过(on server):
7.完成基于token的暴力破解
三、总结
1.暴力破解的危害
- 侵犯隐私:暴力破解可能会导致个人隐私泄露,比如银行账户、电子邮件、社交媒体账号等。这些信息可能被黑客用于从事非法活动,比如盗窃财产、诈骗等。
- 经济损失:暴力破解可能会导致经济损失。黑客可以利用被盗的账号,进行网络钓鱼、诈骗、恶意软件攻击等活动,从而获取非法收益。
- 数据破坏:暴力破解也可能导致数据破坏和系统崩溃。黑客可能会试图入侵系统并修改或删除重要文件,从而损坏数据或系统。这不仅会影响个人的业务运作,还可能影响整个企业或机构的稳定运行。
- 法律责任:暴力破解是一种非法行为,违反了相关的法律法规。一旦被发现并定罪,黑客将承担相应的法律责任,包括罚款、监禁等惩罚。
2.BurpSuite的4种暴力破解模式的含义
- Sniper模式:Sniper模式是最基本的暴力破解模式,它逐个尝试所有可能的密码组合,直到找到正确的密码为止。这种模式既耗时又耗费资源,但它可以保证覆盖所有密码组合。
- Battering Ram模式:Battering Ram模式与Sniper模式类似,但在尝试每个密码组合时,它会使用多个线程同时进行。这种模式可以加快破解速度,但也会产生更多的网络流量和服务器负载。
- Pitchfork模式:Pitchfork模式使用多个字典文件来破解密码。每个字典文件都包含一组相关的密码,例如常见密码、数字密码等。这种模式可以提高破解效率,但需要根据不同的情况选择相应的字典文件。
- Cluster Bomb模式:Cluster Bomb模式将多个字典文件组合在一起,并对它们进行排列组合,以生成所有可能的密码组合。这种模式需要大量的时间和计算资源,但可以有效地破解复杂的密码。
3.暴力破解的防御措施
- 人的层面:增强密码安全性
提升密码长度和复杂度
在不同的地方使用不同的密码
避免使用字典单词、数字组合、相邻键盘组合、重复的字符串。
- 系统层面:做好密码防暴力破解设计
锁定策略:输错密码几次就锁定一段时间。
验证码技术:要求用户完成简单的任务才能登录到系统,用户可以轻松完成,但暴力工具无法完成。
密码复杂度限制:强制用户设置长而复杂的密码,并强制定期更改密码。
6578
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
