暴力破解或称之为穷举法,是一攻击手段,一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。在攻击中,在不知道用户名或密码的情况下,使用这种手段对应用系统的认证信息进行获取,其过程就是通过工具软件利用字典文件使用大量的认证信息在认证接口进行挨个尝试,直到得到正确的结果,从而最终将用户名或密码破解出来。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。常用的字典文件主要有以下类型:常用的账号密码,比如 top100 密码字典、top500用户名字典等。互联网上被拖库后泄露的账号密码,比如当年CSDN泄露的600w用户信息。使用工具软件按照指定的规则进行排列组合算法生成的字典,比如生日字典等。
理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。我们说一个应用系统存在暴力破解漏洞,一般是指该系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高,在可接受的时间内能穷举出账号密码。
应用所在的网络环境里没有部署流量清洗设备,目标网络或系统有后台或登录入口(如Web管理的登录界面、Linux系统SSH登录、Windows远程桌面、Telnet、FTP、网关管理、VPN登录、OA系统、邮件系统或数据库服务器等),攻击者也常常会将这些登录入口作为攻击的重点。如果用户的口令是弱口令,此时爆破的成功率非常高。
容易爆破的口令分为弱口令和口令复用。
弱口令(weak password):没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令包括容易被攻击着猜测或被破解工具破解的口令,产品默认口令,与用户名关联的口令即口令和账号名相关,仅包含简单数字和字母的口令,例如"123"、"abc"等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。
口令复用:指多个设备或系统使用同一口令的情况。
千万不要小看暴力破解漏洞,往往这种简单粗暴的攻击方式带来的效果是超出预期的!
在DVWA页面左侧选择Brute Force。
DVWA Security设置为low,即开发者没有采取任何保护的方法防止爆破,允许攻击者尝试他期望尝试的次数而没有任何影响。
先随便输入账号名密码试试
提示我们用户名、密码不正确。
打开burp准备抓包。DVWA登录界面随便输入账号名密码,点击登录。
抓包成功,点击Action选择Send to Intruder
在Intruder界面,左侧点击clear,如上图。
然后分别选择要爆破/枚举的内容点击Add,这里分别是qwert和4312,也就是登录界面随便输入的账号、密码。注意选择内容的先后顺序,这关系到和字典的对应。
在Positions页面Attack type栏选择Cluster bomb(集束炸弹),多参数做笛卡尔乘积模式爆破,多个密码本对应多个位置,交叉组合,每一个密码本里的密码都对应于另一密码本所有密码。即dict1的第一个密码和dict2的每个密码进行组合爆破,(排列组合的问题)。
在Payloads页面 payload set 选择1,即选择第一个参数也就是账号,payload type 选择 Simple list。Payload Settings 点击load 选择我们提前为账号参数准备好的字典。
重复以上操作,只是payload set处选择2,设置密码的枚举。其他设置默认。
最后点击Start attack 开始攻击
接下来就是等待,等待攻击结束
在results页面,根据status和length来判断是否成功,爆破正确的情况是少的,和其他返回值不一样的length值得我们关注,点击length给他们排序,然后观察。
爆破出一组账号密码,admin/password。手工验证成功登录。
一共有五组账号密码,只爆破出来了一组,我的字典里没有其他四组账号密码的字符串,字典在爆破里面是很重要的。
DVWA Security设置为Medium,这个级别添加了登录失败休眠,也就是如果登录失败需要等两秒钟才能再登录。这个级别还是能爆破,只是需要更长的时间。
DVWA Security设置为High,这个级别使用了反CSRF(跨站请求伪造),登录失败之后不能登录的时间随机2~4s。依然能爆破。
DVWA Security设置为Impossible Level。这个级别设置了“lock out”特性,如果一个账号在15分钟内登录失败5次,账号被锁定,账号就不能登录了。如果锁定账号尝试登录登录,即便输入的是正确的密码,也会显示账号密码错误。也就是账号被锁定了就不可能知道爆破时尝试的是否是正确的密码。这种级别的设置看上去是不可能爆破了,但是十五分钟每个账号可以尝试5次,正确爆破出来的概率还是存在的,渺茫的可能性。
1.增加密码的复杂性,要求用户设置复杂的密码;
2.增加验证码,每次认证都使用安全的验证码且验证 码机制不能太简单(想想买火车票时输的验证码)或者手机验证码;
3.对错误输入进行锁定,对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定30分钟或IP地址锁定等);
4.使用双因素认证,比如账号密码、证书;
…等等。
