一割笙、暴力破解概述
- 連續(xù)性嘗試+字典+自動(dòng)化
二纸泄、 暴力破解測(cè)試流程
1.確認(rèn)目標(biāo)是否存在暴力破解漏洞
- 抓包驗(yàn)證蜂筹,查看目標(biāo)網(wǎng)站對(duì)登錄接口是否實(shí)施了安全措施。
2.優(yōu)化字典
- 收集拖庫(kù)字典骗随;根據(jù)實(shí)際情況對(duì)字典進(jìn)行優(yōu)化蛤织。一個(gè)有效的字典可以大大提高暴力破解的效率。
3.工具自動(dòng)化
- 配置線(xiàn)程鸿染、超時(shí)時(shí)間指蚜、重試次數(shù)等
三、驗(yàn)證碼原理
驗(yàn)證碼(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart” 全自動(dòng)區(qū)分計(jì)算機(jī)和人類(lèi)的圖靈測(cè)試的縮寫(xiě)
認(rèn)證流程
四涨椒、三個(gè)實(shí)驗(yàn)實(shí)戰(zhàn)
實(shí)驗(yàn)一摊鸡、基于表單暴力破解
1.burpsuite配置
1.1配置burpsuite代理
1.2瀏覽器配置代理
1.3瀏覽器安裝證書(shū)
2.抓包分析
-
打開(kāi)目標(biāo)站登陸頁(yè)面
image.png
*分析
image.png - 由上圖可以看到?jīng)]有進(jìn)行其他方式的驗(yàn)證,只提交了用戶(hù)名和密碼丢烘。存在暴力破解漏洞柱宦。
3.攻擊
3.1 利用intruder模塊實(shí)現(xiàn)自動(dòng)化攻擊
-
發(fā)送到inteder模塊
發(fā)送到intruder模塊.png -
配置攻擊類(lèi)型,添加變量
設(shè)置攻擊類(lèi)型添加變量.png -
設(shè)置payload
image.png
image.png
*點(diǎn)擊start atack 開(kāi)始攻擊
image.png -
根據(jù)返回結(jié)果包長(zhǎng)度播瞳,判斷出正確的用戶(hù)名密碼為admin 123456
image.png
實(shí)驗(yàn)二掸刊、驗(yàn)證碼繞過(guò)(on client)暴力破解
1.是否可以繞過(guò)
-
驗(yàn)證碼有效。輸入錯(cuò)誤驗(yàn)證碼赢乓,提示錯(cuò)誤忧侧。
image.png
*查看網(wǎng)頁(yè)源代碼,判定是前端js對(duì)驗(yàn)證碼校驗(yàn)
image.png -
工具驗(yàn)證
image.png
image.png
image.png
image.png
由上圖分析只有前端對(duì)驗(yàn)證碼做校驗(yàn)牌芋,可以繞過(guò)前端蚓炬。
2.攻擊
- 根據(jù)結(jié)果顯示 用戶(hù)名密碼為 admin 123456
3.總結(jié)
- 使用前端實(shí)現(xiàn)js驗(yàn)證碼是可以被繞過(guò)的
- 將驗(yàn)證碼放在cookie或者前端代碼中容易被泄露利用。
實(shí)驗(yàn)三躺屁、驗(yàn)證碼繞過(guò)
1.分析
*輸完用戶(hù)名密碼和驗(yàn)證碼點(diǎn)擊登陸后肯夏,無(wú)反應(yīng);結(jié)合網(wǎng)頁(yè)代碼分析,沒(méi)有在前端進(jìn)行校驗(yàn)驯击,是在后端進(jìn)行驗(yàn)證
-
輸入錯(cuò)誤驗(yàn)證后烁兰,瀏覽器返回的數(shù)據(jù)中顯示驗(yàn)證碼輸入錯(cuò)誤
image.png -
輸入正確驗(yàn)證碼后,瀏覽器返回的數(shù)據(jù)中顯示用戶(hù)名密碼錯(cuò)誤
image.png -
繼續(xù)使用該驗(yàn)證碼徊都,瀏覽器返回的數(shù)據(jù)中顯示用戶(hù)名密碼錯(cuò)誤沪斟,證明后端驗(yàn)證不過(guò)期或者過(guò)期時(shí)間長(zhǎng),可利用此點(diǎn)進(jìn)行繞過(guò)暇矫。
image.png
2.攻擊
-
結(jié)果如下
image.png
3.總結(jié)
- 驗(yàn)證碼在后臺(tái)不過(guò)期主之,導(dǎo)致可以長(zhǎng)期被使用
- 驗(yàn)證碼校驗(yàn)不嚴(yán)格,導(dǎo)致邏輯出現(xiàn)問(wèn)題
- 驗(yàn)證碼設(shè)計(jì)的太過(guò)簡(jiǎn)單和有規(guī)律李根,容易被猜解
五槽奕、 防暴力破解方法
- 是否要求用戶(hù)設(shè)置了復(fù)雜的密碼
- 是否每次認(rèn)證都是用安全的驗(yàn)證碼
- 是否對(duì)嘗試登陸行為進(jìn)行判斷和驗(yàn)證
- 是否在必要的情況下采用雙因素認(rèn)證等