一割笙、暴力破解概述

• 連續(xù)性嘗試+字典+自動(dòng)化

二纸泄、 暴力破解測(cè)試流程

1.確認(rèn)目標(biāo)是否存在暴力破解漏洞

• 抓包驗(yàn)證蜂筹，查看目標(biāo)網(wǎng)站對(duì)登錄接口是否實(shí)施了安全措施。

2.優(yōu)化字典

• 收集拖庫(kù)字典骗随；根據(jù)實(shí)際情況對(duì)字典進(jìn)行優(yōu)化蛤织。一個(gè)有效的字典可以大大提高暴力破解的效率。

3.工具自動(dòng)化

• 配置線(xiàn)程鸿染、超時(shí)時(shí)間指蚜、重試次數(shù)等

三、驗(yàn)證碼原理

驗(yàn)證碼（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart” 全自動(dòng)區(qū)分計(jì)算機(jī)和人類(lèi)的圖靈測(cè)試的縮寫(xiě)

認(rèn)證流程

image.png

四涨椒、三個(gè)實(shí)驗(yàn)實(shí)戰(zhàn)

實(shí)驗(yàn)一摊鸡、基于表單暴力破解

1.burpsuite配置

1.1配置burpsuite代理

burpsuite配置.png

1.2瀏覽器配置代理

瀏覽器代理.png

1.3瀏覽器安裝證書(shū)

下載證書(shū).png

安裝證書(shū).png

2.抓包分析

• 打開(kāi)目標(biāo)站登陸頁(yè)面

  
  
  image.png
  
  

  *分析

  
  
  image.png
• 由上圖可以看到?jīng)]有進(jìn)行其他方式的驗(yàn)證，只提交了用戶(hù)名和密碼丢烘。存在暴力破解漏洞柱宦。

3.攻擊

3.1 利用intruder模塊實(shí)現(xiàn)自動(dòng)化攻擊

• 發(fā)送到inteder模塊

  
  
  發(fā)送到intruder模塊.png

• 配置攻擊類(lèi)型，添加變量

  
  
  設(shè)置攻擊類(lèi)型添加變量.png

• 設(shè)置payload

  
  
  image.png
  
  
  image.png
  
  

  *點(diǎn)擊start atack 開(kāi)始攻擊

  
  
  image.png

• 根據(jù)返回結(jié)果包長(zhǎng)度播瞳，判斷出正確的用戶(hù)名密碼為admin 123456

  
  
  image.png

實(shí)驗(yàn)二掸刊、驗(yàn)證碼繞過(guò)(on client)暴力破解

1.是否可以繞過(guò)

• 驗(yàn)證碼有效。輸入錯(cuò)誤驗(yàn)證碼赢乓，提示錯(cuò)誤忧侧。

  
  
  image.png
  
  

  *查看網(wǎng)頁(yè)源代碼，判定是前端js對(duì)驗(yàn)證碼校驗(yàn)

  
  
  image.png

• 工具驗(yàn)證

  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  
  image.png
  
  

  由上圖分析只有前端對(duì)驗(yàn)證碼做校驗(yàn)牌芋，可以繞過(guò)前端蚓炬。

2.攻擊

image.png

image.png

image.png

image.png

• 根據(jù)結(jié)果顯示 用戶(hù)名密碼為 admin 123456

3.總結(jié)

• 使用前端實(shí)現(xiàn)js驗(yàn)證碼是可以被繞過(guò)的
• 將驗(yàn)證碼放在cookie或者前端代碼中容易被泄露利用。

實(shí)驗(yàn)三躺屁、驗(yàn)證碼繞過(guò)

1.分析

*輸完用戶(hù)名密碼和驗(yàn)證碼點(diǎn)擊登陸后肯夏，無(wú)反應(yīng)；結(jié)合網(wǎng)頁(yè)代碼分析，沒(méi)有在前端進(jìn)行校驗(yàn)驯击，是在后端進(jìn)行驗(yàn)證

image.png

• 輸入錯(cuò)誤驗(yàn)證后烁兰，瀏覽器返回的數(shù)據(jù)中顯示驗(yàn)證碼輸入錯(cuò)誤

  
  
  image.png

• 輸入正確驗(yàn)證碼后，瀏覽器返回的數(shù)據(jù)中顯示用戶(hù)名密碼錯(cuò)誤

  
  
  image.png

• 繼續(xù)使用該驗(yàn)證碼徊都，瀏覽器返回的數(shù)據(jù)中顯示用戶(hù)名密碼錯(cuò)誤沪斟，證明后端驗(yàn)證不過(guò)期或者過(guò)期時(shí)間長(zhǎng)，可利用此點(diǎn)進(jìn)行繞過(guò)暇矫。

  
  
  image.png

2.攻擊

• 結(jié)果如下

  
  
  image.png

3.總結(jié)

• 驗(yàn)證碼在后臺(tái)不過(guò)期主之，導(dǎo)致可以長(zhǎng)期被使用
• 驗(yàn)證碼校驗(yàn)不嚴(yán)格，導(dǎo)致邏輯出現(xiàn)問(wèn)題
• 驗(yàn)證碼設(shè)計(jì)的太過(guò)簡(jiǎn)單和有規(guī)律李根，容易被猜解

五槽奕、 防暴力破解方法

• 是否要求用戶(hù)設(shè)置了復(fù)雜的密碼
• 是否每次認(rèn)證都是用安全的驗(yàn)證碼
• 是否對(duì)嘗試登陸行為進(jìn)行判斷和驗(yàn)證
• 是否在必要的情況下采用雙因素認(rèn)證等