長久以來，入侵遠(yuǎn)程計算機系統(tǒng)的工具和技術(shù)并沒有發(fā)生翻天覆地的變化。例如，在許多情況下，普通用戶只要知道了相關(guān)密碼，就能立刻變身為管理員。雖然這些情形聽起來不夠曲折，但在大多數(shù)情況下，暴力攻擊是通過利用密碼管理缺陷來入侵系統(tǒng)的最簡單實用的方法。

實際上，Web應(yīng)用程序和Web服務(wù)很容易被密碼暴力攻擊所攻陷。之所以出現(xiàn)這種情況，是因為這種類型的軟件相對容易訪問，數(shù)量也很多，同時默認(rèn)情況下允許遠(yuǎn)程使用，而且大部分都是自定義的，此外，它們還會隨著層出不窮的Web技術(shù)而不斷變化。在這篇文章中，我們將從實戰(zhàn)的角度出發(fā)，介紹針對不同類型的Web應(yīng)用程序的暴力攻擊方法。與此同時，我們還將借助現(xiàn)成的免費網(wǎng)絡(luò)安全工具，如AppBandit攻擊代理或某些在線Fuzzer來展示攻擊過程。

基本身份驗證

自萬維網(wǎng)初期開始，基本身份驗證及其變體（如摘要認(rèn)證，NTLM等）就成為了事實上的認(rèn)證標(biāo)準(zhǔn)。在實踐中，人們很早就認(rèn)識到基本身份驗證方式并不太安全，但開發(fā)人員好像對它情有獨鐘，依舊樂此不倦地講起應(yīng)用于路由器管理界面、Web服務(wù)、管理界面等。該方案之所以流傳甚廣，原因之一就是因為它相對比較簡單，因為整個身份驗證方案僅靠一個特殊構(gòu)造的頭部就能得以實現(xiàn)，即利用該頭部存放以base64格式編碼的用戶名和密碼即可。

下面，讓我們介紹針對基本身份驗證的暴力攻擊。為此，我們可以使用AppBandit的Fuzzer或其他在線Fuzzer，只要配置相應(yīng)的參數(shù)就行了。首先，我們需要設(shè)置Authorization頭部，然后添加基本身份驗證信息，當(dāng)然，這些都是專門針對這個特定任務(wù)而構(gòu)建的。

?

對于用戶名，為簡單起見，這里將使用一個由已知帳戶組成的列表。當(dāng)然，我們也可以使用某些著名的數(shù)據(jù)庫所提供的通用字典。

?

對于密碼，我們可以使用字典。實際上，AppBandit和Fuzzer不僅可以使用自身的字典，同時，還可以下載并使用安全社區(qū)提供的各種字典文件。為此，可以從下拉菜單中添加一個字典項目，然后搜索“password”，即可找到由最常用的密碼組成的列表，以及從以往著名的數(shù)據(jù)泄露事件中收集的實際密碼所組成的列表。

?

暴力破解密碼時，請務(wù)必將最大并行請求數(shù)設(shè)為60或更大，并將超時時間減少為5秒，以提高攻擊性能。過了一會兒，我們就找到了正確的密碼——密碼可以從響應(yīng)代碼中看到，具體如下圖所示。

?

基于Pin的身份驗證

許多應(yīng)用程序，尤其是移動應(yīng)用程序會使用一種基于PIN的身份驗證方法，即使用4至6位數(shù)字代碼進(jìn)行認(rèn)證。此外，對于那些通過電子郵件或短信發(fā)送令牌而進(jìn)行的雙因子身份驗證來說，也屬于這種類型，因為該方案的實現(xiàn)大都存在安全漏洞。即便如此，人們還是經(jīng)常誤以為PIN提供的低熵是安全的。但是，實際上只要對Pin進(jìn)行暴力猜解，無論是以順序方式還是隨機方式進(jìn)行，都可以輕而易舉的破解它。

下面，我們以一個假想的JSON服務(wù)為例，來演示如何實施這種攻擊。首先，需要配置好請求報文，以使其符合該服務(wù)的要求。在Body選項卡中，我們需要對Pin生成器進(jìn)行相應(yīng)的編碼處理。首先，使用JSON編碼器來處理這個值。然后，使用一個格式項對它進(jìn)行填充，使其長度符合Pin的長度要求。這些處理在后面是非常有用的。

?

在pad項中包含了一個簡單的計數(shù)器，例如for循環(huán)。計數(shù)器從0開始，遍歷到9999為止，步長為1。這里之所以使用這個pad項，是因為有效的Pin必須是4位數(shù)字。所以，需要用0覆蓋所有不足四位的數(shù)字。當(dāng)然，這種方法同樣也可以用來處理6位和8位數(shù)字的Pin。

?

接下來，根據(jù)需要設(shè)置攻擊選項——即增加并發(fā)請求數(shù)和減少超時。然后，執(zhí)行攻擊。需要注意的是，在前面針對基本認(rèn)證的暴力攻擊中，使用了一種基于狀態(tài)代碼的機制，破解成功與否一目了然；于此不同，要想知道針對基于Pin的身份認(rèn)證的攻擊嘗試是否成功，還得在應(yīng)用程序本身上下功夫，也就是說需要自己去試探。舉例來說，可以監(jiān)視內(nèi)容長度的變化或狀態(tài)碼的變化，例如302重定向可能意味著驗證成功。此外，還可以根據(jù)響應(yīng)的返回時間對其進(jìn)行分類，即時間試探法。當(dāng)然，具體方式完全由讀者自己來定，不過在原理上都是一致的——試探法。

上面的配置，也適用于基于表單的身份驗證，甚至基本身份驗證——唯一不同之處，就是根據(jù)具體情況將生成器移動到所需的地方即可，其余部分完全相同。

基于表單的身份驗證

毫無疑問，基于表單的身份驗證是網(wǎng)上最常見的身份驗證方案。實際上，幾乎所有PHP應(yīng)用程序?qū)τ谶@個方案的實現(xiàn)都不太理想。如果正確的實現(xiàn)的話，基于表單的身份驗證應(yīng)該對自動化的密碼猜測具有很強的“彈性”，但是說起來容易做起來難呀，畢竟現(xiàn)實中有太多的特殊情況，而這些都是需要給予特殊處理的。

在針對基于表單的身份驗證進(jìn)行暴力破解時，具體設(shè)置與基本身份驗證示例中的類似。不過，這里沒有使用Authorization頭部，因為必須按照應(yīng)用程序的具體情況來設(shè)置參數(shù)。首先，可以通過AppBandit代理或HTTPView等工具捕獲這些信息，注意，這些工具可以直接從瀏覽器中運行，而無需進(jìn)行額外的設(shè)置。

在進(jìn)行暴力破解時，腦子一定要靈光，特別是用戶名是電子郵件的時候。例如，與其用大量密碼來暴力破解一個賬戶，不如用一部分最常用的密碼來暴力破解多個賬戶，同時，我們還可以動態(tài)生成帳戶，就像我們接下來要做的那樣。

下面，我們來為用戶列表設(shè)置一個生成器。首先，我們可以定義一些變量，以提高攻擊的可配置性。

?

如您所見，這里正在使用字典（大部分來自seclists）。同時，我們還動態(tài)生成了電子郵件地址。實際上，我們可以在同一次攻擊中使用多個字段。

現(xiàn)在，讓我們向同一個列表中添加100個更常用的密碼。在這里，我們使用了來自seclists的另一個字典，具體如下圖所示。就像您看到的那樣，這種做法不僅更有創(chuàng)意，也更高效。

?

攻擊一旦開始，就需要密切關(guān)注任務(wù)的運行情況，努力尋找提示登陸成功的線索。當(dāng)然，對于大多數(shù)響應(yīng)來說，結(jié)果都是一樣的。對于那些包含有效憑證的請求，可以按照我們前面介紹過的那些方法進(jìn)行識別。然而，有時候您需要找到自己的識別方法。不過，大多數(shù)情況下，使用內(nèi)置過濾器就足以應(yīng)付了。例如，您可以過濾包含有效cookie的響應(yīng)，因為一般來說，找到這樣的響應(yīng)就表示認(rèn)證成功了。

與身份驗證有關(guān)注意事項

從某種意義上來說，Web認(rèn)證系統(tǒng)非常有（gao）趣（xiao）——它們永遠(yuǎn)不可能完美。這是因為，如果它們太安全，那么就根本無法訪問了。反之，如果它們太容易訪問，就不太可能是安全的。因此，在使用上述任何技術(shù)破解密碼時，對于下面這些事項一定要做到心里有數(shù)。

在防范暴力破解方面，最常見防御機制就是帳戶鎖定，然而，在某些情況下，攻擊者可以利用這種機制來發(fā)動拒絕服務(wù)攻擊。例如，假設(shè)用戶名是可猜測的或順序的，并設(shè)置了帳戶鎖定。那么，如果我們在生成有效用戶名方面具有很高的勝率，這就意味著我們也可以將這些人都鎖定在系統(tǒng)之外，即拒絕服務(wù)攻擊。盡管這種攻擊威脅不是很大，但仍不失為一個有效的漏洞。

同時，水平和垂直暴力攻擊之間的轉(zhuǎn)換也是一種常見的技術(shù)。換句話說，我們可以針對多個帳戶測試一個密碼，而不是針對單個帳戶嘗試多個密碼，因為我們可以枚舉帳戶或以高勝率的方式生成它們。

如果某些合法的身份認(rèn)證嘗試來自同一個IP地址的話，有的身份認(rèn)證系統(tǒng)就會簡單粗暴地將其鎖定。后來，這些系統(tǒng)又通過設(shè)置一些例外情況來放寬了這一限制，因為畢竟IPv4地址空間是相對較小的，所以許多客戶會共享同一個IP地址——例如，許多移動網(wǎng)絡(luò)和光纖網(wǎng)絡(luò)實際上都是這樣運作的。所以，攻擊者就可以入侵例外列表中的網(wǎng)絡(luò)，或設(shè)法讓應(yīng)用程序誤以為他們來自例外列表中的網(wǎng)絡(luò)，這樣就可以繞過帳戶鎖定限制了。

類似地，如果身份驗證系統(tǒng)根據(jù)攻擊者的IP地址來阻止IP或NETBLOCK的話，那么暴力破解攻擊就可能轉(zhuǎn)換為拒絕服務(wù)攻擊，從而導(dǎo)致同一網(wǎng)絡(luò)中的所有用戶都無法登錄。再次重申，這對于移動網(wǎng)絡(luò)來說影響特別大，因為移動用戶不太可能擁有專用的公共IP地址，所以移動應(yīng)用程序特別容易受到這個問題的影響。

最后，不要僅僅因為頁面上有reCAPTCHA就認(rèn)為必須使用驗證碼，相反，很多時候它在那里只是個擺設(shè)而已。這是因為，reCAPTCHA或其他CAPTCHA系統(tǒng)通常都是嵌入式的，它們經(jīng)常因配置錯誤或代碼變化的緣故而不進(jìn)行相關(guān)的檢查，這種情況經(jīng)常發(fā)生。

實際上，有時解除身份驗證并不起作用，也就是說，雖然看起來用戶已注銷，但實際會話并未被破壞。這樣的話，以前使用的會話可能被攻擊者重新使用。然而，這個話題實在有點大，需要單獨進(jìn)行解釋。在這里，重點是要知道，有時即使不知道密碼也能登錄，因為還有其他方法。

小結(jié)

攻擊者可以通過多種方式來完成密碼破解/暴力破解，就像前面所說的那樣，這種攻擊是非常普遍的。到目前為止，還沒有找到能夠完全抵御這種攻擊的安全措施。坦率地說，只要我們有賴于密碼，這種攻擊就無法避免。毫無疑問，雙因子認(rèn)證方案能夠提供更高的安全性，但我們也必須承認(rèn)，它也不是萬能的靈丹妙藥，因為在某些情況下，它們照樣可以被繞過。文章來源地址http://www.zghlxwxcb.cn/news/detail-450571.html

到了這里，關(guān)于利用暴力攻擊破解登陸密碼的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！