暴力破解简介
暴力破解也叫穷举法,其基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。
暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。
危害:
恶意用户登录
服务器沦陷
敏感信息泄露
用户密码被重置
敏感目录.参数被枚举
用户订单被枚举
分类:
从不同的架构来讲主要分为两种:
基于B/S架构的暴力破解:
登录框(用户名和密码)
URL参数(用户id值.目录名.参数名等)
验证码(验证码接收处)
基于C/S架构的暴力破解:
windows远程桌面
ssh远程桌面
数据库账号密码(mysql mssql Oracle等)
ftp账号密码
B/S架构暴力破解流程:
正常操作并记录数据包
寻找对象
加载字典文件
开始暴力破解
C/S架构暴力破解流程:
确定攻击目标,需要账号密码输入的地方(常见的远程桌面.s