暴力破解技术

已于 2023-06-29 14:31:40 修改
阅读量205 收藏
点赞数 1
分类专栏: 网络安全技术 文章标签: 网络安全
于 2023-04-20 17:36:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62707591/article/details/130225605
版权

目录

一、概述

1.1 原因

1.2 暴力

1.3 关键

1.4 小技巧

二、工具

2.1 端口服务类

2.1.1 Hydra

2.1.2 Medusa

2.1.3 BruteSpray

2.1.4 Patator

2.1.5 Msf

2.2 Web登陆类

2.2.1 Burpsuite

三、防范

3.1 安全认证策略

一、概述

1.1 原因

服务器没有限制,攻击者可以通过暴力手段破解所有信息,如用户名、密码、验证码。

1.2 暴力

就是一种穷举的模式。

1.3 关键

数据字典(由社会工程学的密码心理学攻击生成)

1.4 小技巧

  • 进行尝试注册,排除明显不合理的密码。
  • 例如目标站要求我们使用6位以上的密码。显然,我们的字典如果存在6位或6位以下的就是不合理的,可以利用此方法去除字典中不必要的密码。
  • 如果是暴破的网站后台,往往最应该尝试的是admin/administrator/root/等象征性比较高的用户名,可以重点对这些用户名+密码进行尝试。观看返回结果,确定用户名。

二、工具

2.1 端口服务类

爆破SSH、RDP、FTP、 HTTP、 POP3、 TeInet等服务。

2.1.1 Hydra

世界顶级密码暴力密码破解工具,是著名黑客组织 thc 的一款开源的暴力密码破解工具,支持几乎所有协议的在线密码破解,功能强大,其密码能否被破解关键取决于破解字典是否足够强大

利用Hydra实现SSH和FTP爆破

SSH是Secure Shell的缩写,经常用于Linux、UNIX等操作系统中进行服务器远程管理。而这种管理仅仅需要知道服务器的IP地址、端口、管理账号和密码,即可进行服务器的管理,网络安全遵循木桶原理,只要通过SSH撕开一个口子,对渗透人员来时这将是一个新的世界。

2.1.2 Medusa

  • 速度快,支持大规模并行,模块化。可同时对多个主机、用户或密码执行强力测试。
  • 在线密码破解工具。
  • 稳定性相较于 hydra 要好,支持模块要比 hydra 少,最新版本2.2,软件从2015年后未更新,kali 默认自带该软件。

2.1.3 BruteSpray

  • 一款基于Nmap扫描的输出文件。
  • 自动调用Medusa对服务进行爆破,声称速度比 hydra 快。

2.1.4 Patator

2.1.5 Msf

2.2 Web登陆类

爆破 we b页面的登录账号和密码

2.2.1 Burpsuite

  • 用于攻击 web 应用程序的集成平台,包含了许多工具。
  • BurpSuite为这些工具设计了许多接口,加快攻击应用程序的过程。

强大工具箱(使用教程):

  • Proxy(常用)
  • Spider
  • Scanner
  • lntruder(常用)
  • Repeater
  • Sequencer
  • Decoder
  • Comparer

三、防范

爆破漏洞的存在一般是指该应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。

3.1 安全认证策略

  • 是否要求用户设置复杂的密码
  • 是否每次认证都使用安全的验证码
  • 是否对尝试登录的行为进行判断和限制
  • 是否采用了双因素认证
     
01==零壹
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
暴力破解漏洞——密文爆破、Session 固定攻击 (未授权)、密文传输爆破、Cookie 欺骗漏洞
m0_61506558的博客
08-20 911
目录(一) Authorization 爆破1、先随便写admin、password 2、BP抓包,读取报文 2、BP选择配置 (二)密文传输爆破 1、BP抓取报文 2、找name字段 3、找到txt_password加密方式(三)Session 固定攻击 (未授权)(四)Cookie 欺骗漏洞1.case1 2. case23.case3 ​编辑 与之前读取的报文是不一样的,观察到Authorization字段,进行Base64编码选择自定义迭代器 填写爆破字典 进行Base64编码,开始爆破点击密码框,
黑客入门破解网络密码常用九个方法
m0_74942241的博客
02-25 3924
个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果。比如,银行卡账户密码被盗,你就给别人打工了。所以,增强网民的网络安全意识是网络普及进程的一个重要环节。常言道:知己知彼方能百战不殆。因此,在个人采取安全措施来保护自己的网络密码之前,有必要先了解一下流行的网络密码的破解方法,方能对症下药,下面我就介绍一下几个主要的网络密码破解。
暴力破解攻击方式及思路
2301_77300311的博客
05-05 1131
暴力破解”攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。
pikachu靶场暴力破解专题
m0_62623551的博客
11-23 4990
pikachu是我作为初探渗透的平台,所以我会在每个专题前增加更多的基础知识,一是方便自己巩固基础,二是帮助一些也打算入门渗透的小白更好的理解。
pikachu-暴力破解
weixin_50342860的博客
07-11 1302
pikachu-暴力破解基于表单的暴力破解暴力破解概述暴力破解测试防暴力破解的措施总结验证码绕过(on sever)验证码绕过(on sever)测试验证码绕过(on client)验证码绕过(on client)测试token防爆破token防爆破概述token防爆破测试 基于表单的暴力破解 暴力破解概述 攻击者在不知道目标系统的账号密码的情况下,通过自动化工具和一个强大的字典进行连续性尝试的登录,碰撞出一些有效的账号密码 暴力破解测试 一、打开pikachu靶场 输入用户名和密码----Login(
暴力破解技术课程
03-09
网络攻防中如何对于目标主机中账户密码的破解,请看本教程为您提供的思路和方法。
Java编程实现暴力破解WIFI密码的方法分析
08-26
主要介绍了Java编程实现暴力破解WIFI密码的方法,结合具体实例形式分析了java暴力破解WiFi密码的原理、操作步骤、实现技巧与相关注意事项,需要的朋友可以参考下
暴力破解FTP服务器技术探讨与防范措施分享
09-30
随着Internet的发展出现了由于大量傻瓜化黑客工具,任何一种黑客攻击手段的门槛都降低了很多,但是暴力破解法的工具制作都已经非常容易
phpMyAdmin暴力破解v1.3
07-21
此东西仅供网友技术进修交换利用,请勿利用于犯警用处。 MySQL数据库字典,人人就本身网上支散了! 当前版本 v1.2 MD5:541465699949f3d60fcea923ccf245b2 sha1:e23d7ce46606d530abc4a9e473bdb0b5247aaff1 – ver...
phpMyAdmin(MySQL)暴力破解工具v1.3.rar
06-18
目前phpMyAdmin3.2.5,phpMyAdmin3.2.1、phpMyAdmin2.11.2版本测试均成功! 此工具仅供网友技术学习交流使用,请勿使用于非法用途。
黑客动态破解技术入门精髓
04-02
黑客基地软件破解特训班第14课 黑客动态破解技术入门精髓
软件破解入门技术教程
05-30
内附软件破解基本教程,常用手册,以及看雪教程(不懂的可百度哈)
iis10 asp 如何连接mdb_如何攻破一个网站
weixin_39595487的博客
10-25 936
原标题:如何攻破一个网站通过本文你将了解黑客常用的入手思路和技术手法,适合热爱网络信息安全的新手朋友了解学习。本文将从最开始的信息收集开始讲述黑客是如何一步步的攻破你的网站和服务器的。阅读本文你会学到以下内容:1.渗透测试前的简单信息收集。的使用的使用反弹提权系统的权限提升6.backtrack 5中渗透测试工具nikto和w3af的使用等.假设黑客要入侵的你的网站域名为: 让我们用ping命令获...
黑科技知识:需要登录才能访问的网站如何破解?仅仅只需 3 步!
致力于C语言C++知识分享!
01-27 2万+
不少的网站(其实主要是那种1024类,当然也有一些小众专业类)是禁止未登陆用户访问的。但它会对搜索引擎开绿灯,为什么呢? 因为由搜索引擎带来的SEO关键词流量是非常可观的,当你找到这样的网站,不得不用它时,只能按照网站的要求注册账号甚至交一定的会员费。 言归正传,今天介绍的一项黑科技、骚操作就是使用浏览器自带的功能,用身份欺骗绕过网站的访问权限限制,进而直接访问网站内容。 简单来说就是网站禁止你未登陆用户访问,你用这项黑科技来破解它。 核心操作就是把浏览器的User Agent设置为搜索引擎的爬
网站暴力破解入门
helloworlddm的博客
02-22 4681
工具 nmap和hydra(Kali Linux自带) nmap 是扫描工具 hydra 暴力破解工具 第一步 扫描 nmap 192.168.1.103 从上图中可以看出ssh是开启的。 第二部 暴力破解 可以使用文件,具体可参考hydra的帮助。 如何生成字典,网上有很多的工具。 hydra -l burning -p 123456 -s 22 192.168.1.103 ssh 如图为破...
总结常见的10种破解密码方法
热门推荐
m0_67105288的博客
02-22 2万+
1、将屏幕记录下来 为了防止键盘记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户密码。 2、对键盘进行多种监控 如果用户密码较为复杂,那么就难以使用暴力破解的方式破解,这时黑客往往通过给用户安装木马病毒,设计“键盘记录”程序,记录和监听用户的键盘操作,然后通过各种方式将记录下来的用户键盘内容传送给黑客,这样,黑客通过分析用户键盘信息即可破解出用户的密码。 3、钓鱼及伪
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8199
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
暴力破解 (中危)
07-27
暴力破解是指在后台登录时,由于验证码未刷新,导致可以通过多次尝试不同的用户名和密码组合来破解管理员账号的漏洞。这是一种中危漏洞,因为攻击者可以通过暴力破解获取管理员权限并对系统进行非法操作。这个漏洞在Emlog博客系统的默认后台登录地址中存在,包括版本5.3.1和6.0测试版本。\[1\] 在进行暴力破解时,攻击者可以使用不同的工具和技术,如账号枚举、暴力破解、短信炸弹等。其中,账号枚举是通过观察登录提示信息或抓包返回包来确定有效的用户名;暴力破解是通过尝试不同的密码组合来破解登录密码;短信炸弹是通过发送大量短信来尝试绕过后端限制。此外,还存在其他一些攻击方式,如会话固定、目录枚举、撞库攻击等。\[2\] 为了修复这个漏洞,建议在后台登录界面添加验证码功能,确保每次登录都需要输入有效的验证码。同时,还可以加入源IP限制,限制只有特定IP地址才能进行后台登录操作,以增加系统的安全性。\[3\] #### 引用[.reference_title] - *1* *3* [emlog5.3.1后台暴力破解](https://blog.csdn.net/lbwnbnbnbnbnbnbn/article/details/124744584)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [渗透测试思路](https://blog.csdn.net/weixin_44414845/article/details/102991128)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值