渗透测试之暴力破解及验证码安全

暴力破解及验证码安全（逻辑漏洞）

1.暴力破解注意事项

破解前一定要有一个有效的字典（top100 top2000 csdn QQ 163等字典）     判断用户是否设置了复杂密码，网站是否存在验证码 尝试登陆的行为是否有限制，网站是否双因素验证 token值等。

对目标网站进行注册，搞清楚账号密码的一些限制，比如目标站点要求密码必须是8位以上，字母数字组合，则可以按照此优化字典，比如去掉不符合要求的密码。

如果破解的是管理后台密码，可使用admin/administrator/root/test账号几率较高，可以使用这三个账号+随便一个密码字典进行暴力破解，是破解过程中一定要观察提示，如‘用户名或密码错误’，‘用户名错误’，‘密码错误’

---

账号注册问题   查看注册账号时是否有验证码  账号是否可以无限注册

---

2.暴力破解分类 b/s c/s

2.1 基于表单的暴力破解

基于pikachu漏洞演示平台

先打开pikachu    选暴力破解->基于表单的暴力破解   随便输入账号和密码 用burp抓包

抓取下来数据包 发送给测试器

选择位置 然后清除burp自己设置的所有标记

手动将username改成admin并将password这个参数设置好标记（需要先知道账号才可以爆破密码否则两个一起爆破难度大大提高）

设置好之后选择有效载荷添加字典

点击粘贴可以将字典直接粘贴过来  点击下面的按钮可以导入一个文本格式的子字典

导入好自己的字典后点击开始攻击

密码是123456

2.2 基于验证码的暴力破解

on client常见问题：不安全的将验证码在cookie中泄露，不安全的将验证码在前端源代码中泄露

还是用pikachu  和之前一样 账号admin随便输入一个密码  正确的验证码

继续发送给测试器   将所有标记清除

因为是前端JS效验验证码是否正确  现在提交过来说明已经效验完成  直接删除掉vcode  将password标记好

设置好后 添加字典  设置一下线程 开始攻击

on server常见问题：验证码在后台不过期 导致长期会用（PHP默认session是24分钟后过期），校验码效验不严格，逻辑出现问题。验证码设计的泰国简单和有规律的被猜解

还是继续抓包  因为验证码是后端验证  但是session是在24分钟后过期所以不需要删除验证码  直接将密码设置好标记  直接导入字典开始攻击就可以

设置好后导入字典开始爆破

基于token破解

由于token值输出在前端源代码中，容易被获取，因此也就失去了方暴力破解的意义，一般token在防止CSRF上会有比较好的功效。

注意：破解方式为音叉；线程数设为1；Grep-Extract设置好开始token" value=" 结束为" /> ；有郊载荷设为递归搜索

"token" value="

还是和之前一样  抓包发送到测试器 

但是攻击类型选择音叉 将password和token设置标记

选择有效载荷

有效载荷比之前多了一个  1是password  2是token

password还是和之前一样导入密码字典  2选择递归搜索

点击选项  选择在响应中提取以下项目

点击获取回复

直接将token值位置定义好  点OK

点击开始攻击

弹出上面错误  直接将线程调成1就好了

验证码识别

先抓取一个数据包   把抓取到的包复制下来

打开验证码爆破工具Pkav HTTP Fuzzer 1.0.2.1

将抓取到的数据包复制进来

开始配置软件   还是将password和验证码设置标记

导入一个字典

开始验证码识别项设置

验证码地址需要去需要爆破的网站复制验证码图片的地址

因为验证码是存数字的   在识别范围改成0--9就可以了 可以加快验证码识别速度

这里调用的第三方验证码识别库

上面设置好验证码的长度 如果验证码是固定的 直接输入固定数字就可以

下面是验证码错误重试 因为每个密码都要测试一遍 有可能验证码错误  导致密码没有真正的提交到服务器  所以这里要设置一下重试规则

进入发包器选项 启动爆破

速度很快

验证码分类

GIF动画验证码

手机短信验证码

手机语音验证码

视频验证码

---

验证码绕过思路

验证码由客户端JS生成并仅仅由js验证（只需要手动输入对一次 用burp抓包删除掉验证码即可绕过）

验证码存放在HTML或cookie里（token方法可以绕过）

账号密码输入错误一定次数出现验证码（有可能错误次数在cookie内 每次输入错误cookie某个参数值加一 让该参数值一直为未错误的状态 验证码就会一直不出来）

验证码不过期（抓包抓到一个正确的验证码 在有效期内一直使用该验证码）

没有进行非空判断（直接不输入验证码）

验证码安全修改

1.强制要求输入验证码，否则，必须实施IP策略， 不要被X-Forwaded-For绕过

2.验证码只能用一次，用完立即过期，不能再次使用

3.验证码不要太弱，扭曲，变形，干扰线条，干扰背景色，变换字体等

4.大网站最好使用同一验证码，各处使用同一个验证码接口

---

3.暴力破解C/S

主要工具 Hydra Bruter

第一个爆破工具Bruter

全部设置好之后就可以开始破解

工具需要放在英文目录下 否则会找不到文件

瞬间出账号密码

第二个爆破工具是kali平台下的hydra

hydra是著名黑客组织thc的一款开源的暴力密码破解工具，可以在线破解多种密码。官网：http://www.thc.org/thc-hydra，可支持AFP, Cisco

AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET,

HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET,

HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP,

MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere,

PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP

Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet,

VMware-Auth, VNC and XMPP等类型密码。

---

安装：

1.yum安装相应依赖包

# yum install openssl-devel pcre-devel ncpfs-devel postgresql-devel libssh-devel subversion-devel libncurses-devel

2.hydra编译安装

# cd /usr/local/src

# wget http://freeworld.thc.org/releases/hydra-6.3-src.tar.gz

# tar zxf hydra-6.3-src.tar.gz

# cd hydra-6.3-src

# ./configure# make

# make install

# ./configure会检测当前系统一些组件配置，主要是对于破解支持模块的检测，可根据需要安装对应的支持库和依赖包

hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns]

[-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service [OPT]

-R 继续从上一次进度接着破解。

-S 采用SSL链接。

-s PORT 可通过这个参数指定非默认端口。

-l LOGIN 指定破解的用户，对特定用户破解。

-L FILE 指定用户名字典。

-p PASS 小写，指定密码破解，少用，一般是采用密码字典。

-P FILE 大写，指定密码字典。

-e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探。

-C FILE 使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数。

-M FILE 指定目标列表文件一行一条。

-o FILE 指定结果输出文件。

-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。

-t TASKS 同时运行的线程数，默认为16。

-w TIME 设置最大超时的时间，单位秒，默认是30s。

-v / -V 显示详细过程。

server 目标ip

service 指定服务名，支持的服务和协议：telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等。

OPT 可选项

其它实例：

1.破解ssh：

# hydra -l 用户名 -p 密码字典 -t 线程-vV -e ns ip ssh

# hydra -l 用户名 -p 密码字典 -t 线程-o save.log -vV ip ssh

2.

破解ftp：

# hydra ip ftp -l 用户名 -P 密码字典 -t 线程(默认16) -vV

# hydra ip ftp -l 用户名 -P 密码字典-e ns -vV

3.get

方式提交，破解web登录：

# hydra -l 用户名 -p 密码字典 -t 线程-vV -e ns ip http-get /admin/

# hydra -l 用户名 -p 密码字典 -t 线程-vV -e ns -f ip http-get /admin/index.php

4.post

方式提交，破解web登录：

# hydra -l 用户名 -P 密码字典-s 80 ip http-post-form "/admin/login.php:username=^USER^&password=^PASS^&submit=login:sorry password"

# hydra -t 3 -l admin -P pass.txt -o out.txt -f 10.36.16.18 http-post-form "login.php:id=^USER^&passwd=^PASS^:wrong username or password"

（参数说明：-t同时线程数3，-l用户名是admin，字典pass.txt，保存为out.txt，-f 当破解了一个密码就停止， 10.36.16.18目标ip，http-post-form表示破解是采用http的post方式提交的表单密码破解,