Web安全—暴力破解(BurteForce)
前言:弱口令yyds,暴力破解虽然是一种原理特别简单的漏洞,其利用方式也非常简单,但其危害却十分巨大,如果我们通过信息阶段找到Web应用的后台登陆页面,然后通过弱口令/暴力破解登陆,那这个Web应用的信息将会全部暴露。
暴力破解(BurteForce)
一:基于表单的暴力破解(不存在验证码和token)
1,通过BurpSuite抓包发现此处不存在Token等认证信息,且账户密码等信息都是明文传输
2,将抓取的数据包发送至攻击模块(Intruder),然后将参数password设置为变量,攻击模式选择为Sniper,避免麻烦,我们这个实验过程默认已知登陆账户为admin。
设置password变量攻击模式:
配置变量的payload:
暴力破解结果,密码为123456,使用其登陆成功
总结:当登陆认证的地方没有验证码,Token等认证信息的时候,我们可以使用暴力破解的方式轻松穷举到网站的账号和密码。
二:验证码绕过On Server(不存在token)
1,通过抓包判断此处存在验证码认证信息,且验证码是通过服务端进行验证,不存在Token等其他认证信息
2,首先判断此场景验证码和账号密码输入的报错信息,方便后面推测当前认证情况
验证码输入错误:
账号密码输入错误:
此处可以判断的是验证码的判断正确优先级高于账号密码正确的优先级
3,当前认证信息推测
判断思路:此处需要判断的是验证码是否会跟随账号和密码的提交失败变化,如果会实时更新,那暴力破解的难度会大大提高,反之难度降低
操作步骤:将验证码提交正确的数据包发送至Repeater模块,多次修改账户和密码参数重新提交,查看返回结果,返回结果为账户密码不正确的信息,此时我们判断此处认证方式为只要浏览器不多次提交,服务端对客户端提交的验证码是不变的
4,根据步骤三可以判断验证码不更改的情况下,对账户和密码的破解和步骤便与"基于表单的暴力破解"情况相同,此处不做过多赘述
使用admin/123456在验证码认证情况下登陆成功
三:验证码绕过On Client(不存在token)
1,通过抓包判断此处存在验证码认证信息,且抓包发现当客户端输入验证码错误的时候,在BP是没抓到数据包的,所以此处推断验证码属于客户端验证
2,此场景就算我们不确定这里的验证码是服务端还是客户端,依然可以按照On Server的推测思路的方法进行处理,完全不影响我们最后拿到账户和密码,因为和上述场景一致,后续的步骤不进行过多赘述
四:账户密码安全认证(存在token,不存在验证码等)
1,通过抓包判断此处存在Token认证,不存在其他认证方式
2,Token对于防护暴力破解是可以绕过的,Token是一种认证信息,其基本知识可参考文章Web安全—CSRF(Token)客户端每次提交的token值都是由服务端上次回复的请求中隐藏发送给客户端的,隐藏在hidden标签中
3,暴力破解开始
1,抓取提交的认证数据包,将其发送至Intruder,然后将password和token变量设置为payload参数,攻击模式选择Pitchfork或Cluster bomb(因为此处需要设置两个字典)
2,设置password字典
3,设置token字典,因为每次的token都是上次回复包返回的值,所以我们需要按照如下方式设置
选择Grep-Extract
按照如下顺序,将token值设置为变量,然后赋值此处的token值
设置token字典
将线程数设置为1
破解获取到密码
总结:在对目标进行暴力枚举的时候,我们首先应该根据抓包信息推测其认证方式的可能,当得知其认证方式后我们才能对症下药,另外就是需要字典够丰富。
暴力枚举常见危害及防御:
常见危害:
1,获取登陆账户和密码,登陆应用后台,结合其他漏洞可进行更大的危害
2,敏感信息泄露,通过枚举应用根目录,导致敏感信息泄露
防护:
1,提高密码和验证码的复杂度(至少8位,大小写,特殊字符和数字)
2,应用限制单位时间内登陆错误的次数(如规定10分钟内连续输错5次就锁定十分钟)
3,验证码随着提交更改
1458
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
