前言
口令破解是一种对应用认证系统的攻击手段,在web攻击中,一般会使用这种手段对账号登录系统进行破解。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作
口令攻击分类
基于穷举的攻击
简述:所有符合规则的认证信息,进行攻击。假设密码组成规则是6位26个字母、数字的组合。那么我们知道密码的组合数量有56800235584(约568亿)。公式为
n
r
n^r
nr, n为可用字符,r为组合的位数,
6
2
6
62^6
626。设每秒认证一条,568亿需要1801年。如果是字母、数字、符号的8~16位组合,则数量会更多
优点:可靠。理论上时间允许,就可以破解
缺点:效率低
基于字典的攻击
简述:使用符合规则的一部分认证信息,进行攻击。如弱口令TOP、基于社工,使用名字、生日、手机号码生成的口令字典。这里要注意的一点是要过滤掉不符合认证系统规则的密码,如目标的密码组成是8位,应该要过滤掉8位以下的密码
优点:效率高
缺点:攻击成败,取决于字典的好坏
防御措施
设置高强度密码
例如 8位~16位,字母+数字+特殊符号(-_!@),8位组合的数量就高达上万亿。但是数据库被入侵会泄露
双因素认证
静态密码+一次性动态密码,如账号密码验证成功后,再使用手机号验证码。这里的验证码有被截获的风险,如伪基站、手机木马、钓鱼网站
增加验证码
在规定时间内认证次数过多,增加动态验证码。如在5秒内认证了2次,增加验证码,参考慕课网
密码锁定策略
在规定时间内认证次数过多,锁定账号,规定时间内不得再认证。如在10秒内认证了5次,锁定5分钟,参考手机的锁屏密码
总结
密码越简单,验证环节越少,攻击越容易
攻击实验
工具:Burp suite渗透测试工具
环境:Firefox浏览器, Pikachu漏洞靶场
前期准备:开启Burp suite代理,设置浏览器 Burp suite的代理,部署Pikachu漏洞靶场
穷举攻击
-
打开Pikachu > 暴力破解 > 基于表单的暴力破解
填写正确的账号,随意填写密码,点击按钮提交 -
截获代理,发送到攻击器那里
4. 设置攻击配置
最后,看返回的信息查看是否成功
字典攻击
0.寻找字典:弱口令TOP 、社工生成、Crunch-口令生成器
1-3步和穷举攻击一样,将第四步改成