web安全_暴力破解
文章目錄
- 一.暴力破解概念
- 二.burp爆破
- 三.暴力破解演練
- 1.---on client(通過前端的驗證碼)
- 2.---on server(通過服務端的驗證碼)
- 3.小技巧
- 4.base64繞過
一.暴力破解概念
所謂“暴力破解” 就是用窮舉法來算,也就是說從鍵盤上的字母和數字一個一個的試直到找到正確的密碼。它的數量可以是100個,1000個,上億個密碼來嘗試登陸你的賬號和密碼,在沒有安全意識下,用戶的密碼是很容易被破解的。
哪我們如何防護了??
1.設置密碼時,大小寫混合加數字和符號,并且足夠長,這樣別人爆破兩年可能都爆破不出來。
2.在用戶提交請求處添加驗證碼,并且驗證碼使用一次就失效,否則存在繞過。
3.不隨意在不安全的網站或軟件登錄密碼,因為那可能是釣魚。
二.burp爆破
我們以第一皮卡丘靶場的第一關為列
正確流程如下:
1.打開代理提交登陸的參數
2.發送到intrude模塊
3.吧原來的clear掉,然后選擇需要爆破的位置點擊add
再選擇字典,方式有如下4種
sniper:只能用一個字典(爆破一個參數),添加兩個也沒用
Battering ram:只能用一個字典(爆破多個參數),用一個字典先爆破第一個參數,再爆破其他參數
Pitchfork:可以使用多個字典,字典交叉爆破,相互使用
Cluster bomb:可以使用多個字典,字典互不干擾自己爆破自己的
常選用思路:爆破一個參數則使用第一個,爆破多個參數使用第四個,這樣可以互不干擾,當然你也可以選擇相互使用
點擊payloads 選擇字典
我們選擇 Runtime file
在點擊select file 選擇一個爆破的字典
選擇第2個字典
步驟和第一個一樣
開始攻擊
觀察響應
length長度與其他不同時則爆破出了密碼
三.暴力破解演練
1.—on client(通過前端的驗證碼)
這里我們以此關為例
首先我們發現此關有驗證碼認證,不要怕
按 f12 查看源代碼,發現驗證碼是前端js所寫
前端js所寫我們是否可以繞過了????
答案:完全可以。
方法一:
我們在抓包之前,去點擊options,勾選remove all JavaScript
這樣抓包以后就去掉了js代碼,js也就失效了
方法二:
直接無視他的驗證碼
抓包以后使用原來的驗證碼
一樣可以爆破出來
2.—on server(通過服務端的驗證碼)
我們輸入任意賬戶密碼和驗證碼點擊提交
發送到repeater重放攻擊
可以看到服務器返回驗證碼輸入錯誤
輸入正確驗證碼
服務器返回賬戶密碼錯誤
再次輸入錯誤密碼
如下圖解釋
返回賬戶密碼錯誤,并沒有返回驗證碼錯誤,
驗證碼可以多次利用,
也就代表服務端并沒有對驗證碼做嚴格的處理.
服務端應該做到,使用一次驗證碼立刻銷毀驗證碼,如果不銷毀,依然可以被攻擊者利用
所以我們可以直接輸入任意賬戶和密碼,以及圖中的驗證碼,
和上面類似,無視驗證碼,輸入一個然后抓包及可
可以看到一樣成功
3.小技巧
就光靠length來辨別正確賬戶和密碼可能無法滿足我們的需求,哪我們可以使用什么方法啦?
我們以dvwa為列:
登陸時發現輸入密碼錯誤則會提示錯誤
截斷后如下圖操作,并且勾上圖中的flag result 。。。。,這里我忘記勾了,大家一定要勾上
他的意思就是,添加一欄標題,并且當他出現時就勾上,反之不出現代表密碼正確了,所以就不勾上,所以password就是密碼。
作用:可以幫助我們更方便找到密碼
4.base64繞過
當我們發覺截斷以后的編碼方式是
如下:
則代表用戶輸入的參數被base64加密了
所以我們要讓我們的字典也加密方可爆破
1.點擊intruder中的payloads
2.找到payload processing
3.并且選擇如下操作
則代表將我們的字典加密為base64
則可以爆破
可以看到,爆破時都是加密的
假如我們爆破出來密碼
我們點擊進去
然后右鍵
然后點擊圖中的圈出來的部位
則有一個base64解密,則可以吧密碼解密出來
總結
以上是生活随笔為你收集整理的web安全_暴力破解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Kali下JDK1.8的安装过程
- 下一篇: web安全_皮卡丘_csrf