2.2-1 暴力破解原理和測試流程(Av96582332,P2)
暴力破解漏洞解析-目錄
l
暴力破解攻擊 暴力破解漏洞概述
l
暴力破解漏洞測試流程
l
基於表單的暴力破解攻擊(基於 burp suite
l
暴力破解之不安全的驗證碼分析
---
on client
---
on server
l
Token 可以防暴力破解嗎?
l
暴力破解常見的防範措施
一個有效的字典,可以大大的提高暴力破解的效率
l
常用的賬號密碼(弱口令),比如常用用戶名 密碼 TOP 500 等。
l
互聯網上被脫褲後賬號密碼(社工庫),比如 CSDN 當年泄漏的約 600w 用戶信息。
l
使用指定的字符使用工具按照指定的規則進行排列組合算法生成的密碼。
如果一個網站沒有對登錄接口實施防暴力破解的措施,或者實施了不合理的措施。
則該稱該網站存在暴力破解漏洞。
ü
是否要求用戶設置了複雜的密碼;
ü
是否每次認證都使用安全的驗證碼;
ü
是否對嘗試登錄的行爲進行判斷和限制;
ü
是否在必要的情況下采用了雙因素認證;
等等。
存在暴力破解漏洞的網站可能會遭受暴力破解攻擊,但該暴力破解攻擊
成功 的可能性並不是 100% !
所以有些網站即雖然存在暴力破解漏洞,但其管理員可能會忽略它的危害。
但作爲一個搞安全的,我們應該在系統設計的時候,就應該講這些措施加入到對應的認證場景中
絕不能爲了妥協開發人員或者業務人員
有半點僥倖心裏 否則被幹
暴力破解漏洞測試流程
1
確認登錄接口的脆弱性
確認目標是否存在暴力破解的漏洞。(確認被暴力破解的“可能性”)
比如:嘗試登錄
抓包 觀察驗證元素和 response 信息,判斷否存在被暴力破解的可能。
2
對字典進行優化
3
工具自動化操作
根據實際的情況對字典進行優化,提高爆破過程的效率。
配置自動化工具(比如線程、超時時間、重試次數等),進行自動化操作。
字典優化技巧
技巧一:
根據註冊提示信息進行優化
對目標站點進行註冊,搞清楚賬號密碼的一些限制,比如目標站點要求密碼必須是
6 位以上,字
母數字組合,則可以按照此優化字典,比如去掉不符合要求的密碼。
技巧二:
如果爆破的是管理後臺,往往這種系統的管理員是
admin/administrator/root 的機率比較高,
可以使用這三個賬號 隨便一個密碼,嘗試登錄,觀看返回的結果,確定用戶名。
比如:
ü
輸入 xxx/yyyf 返回“用戶名或密碼錯誤”;
ü
輸入 admin/yyy 返回“密碼錯誤”,則基本可以確定用戶名是 admin
因此可以只對密碼進行爆破即可,提高效率。
3.2-2 基於表單的暴力破解實驗演示及burpsute使用介紹(Av96582332,P3)
Intruder
模塊可以通過對 http request 的數據包以變量的方式自定義參數,然後根據對應策略進行自
動化的重放。常用於自動化猜測 暴力破解過程中。
intercept is on 關掉,不攔截,(但會記錄訪問過程,從http history找記錄用)
沒有驗證碼,ok。抓登陸post,發inturder,playloads,ploadsets選runtime file,加載username.txt
對playload的裏面特殊字符,是否需要進行url編碼,默認就行
併發數;失敗重試幾次;請求間隔時間
第0個數據包是原封不動的發過去
登陸錯誤的提示是username or password is not exists~
清掉,加上錯誤提示作標記,測試有標記的就是失敗的,沒有就是成功的;長度和其他不一樣的,很有可能是成功的(選中加$$的包含部分,點擊clear,可單獨清除,不會全部清掉)
最終選Cluster bomb,加載用戶名、密碼這兩個playload set
runtime路徑中如果有中文名,不能加載成功,測試playload都是空,千萬注意!!!