怎么利用暴力破解攻擊打進(jìn)目標(biāo)Web服務(wù)器

這篇文章主要介紹怎么利用暴力破解攻擊打進(jìn)目標(biāo)Web服務(wù)器，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

寫在前面的話

在很多現(xiàn)實的攻擊案例中，大多數(shù)攻擊者都是通過暴力破解的方式來入侵目標(biāo)系統(tǒng)的，此時攻擊者主要利用的是弱密碼以及密碼管理方面的安全問題。Web應(yīng)用和Web服務(wù)特別容易受到密碼暴力破解攻擊，因為它們相對來說比較容易實現(xiàn)遠(yuǎn)程訪問，而且數(shù)量和種類都非常豐富。在這篇文章中，我們將站在攻擊者的角度跟大家介紹幾種不同類型的針對Web應(yīng)用的暴力破解攻擊。

注：我們將使用到網(wǎng)上現(xiàn)成的開源Web安全工具，例如AppBandit Attack Proxy和Fuzzer from the OnlineSuite來演示攻擊路徑。

基礎(chǔ)認(rèn)證

在互聯(lián)網(wǎng)發(fā)展的早期，基礎(chǔ)認(rèn)證（例如摘要認(rèn)證和NTLM等）是普遍采用的認(rèn)證標(biāo)準(zhǔn)。毫無疑問，這種方法的安全性是不足以滿足我們需求的，但是很多開發(fā)人員仍在使用這種認(rèn)證方案來對路由器管理接口和Web服務(wù)等關(guān)鍵節(jié)點(diǎn)進(jìn)行保護(hù)。之所以這種認(rèn)證方法能夠得到廣泛使用，主要是因為它實現(xiàn)起來非常簡單（基于特殊構(gòu)造的Header，其中包含的用戶名和密碼均以base64格式編碼）。

接下來，我們要開發(fā)一個針對基礎(chǔ)認(rèn)證的暴力破解攻擊。打開AppBandit的Fuzzer或Fuzzer from the online suite，并配置一些相關(guān)參數(shù)。首先，我們需要設(shè)置授權(quán)Header，然后添加基礎(chǔ)認(rèn)證選項：

我們將從已知賬號中選取用戶名，然后從某些著名數(shù)據(jù)庫中選擇常用字典：

AppBandit和Fuzzer沒有自帶字典文件，但是它們都可以使用外部字典。我們可以直接把字典文件拖進(jìn)工具窗口，然后你就可以使用各種類型的常用字典列表了：

確保你將并行請求的最大數(shù)量設(shè)置為60以上，并降低timeout到5秒左右，這樣可以提升攻擊的效率。接下來，我們只需要觀察控制臺中的響應(yīng)碼就可以了解密碼的破解情況了。

基于PIN碼的認(rèn)證

很多應(yīng)用程序，尤其是移動端App都會使用基于PIN碼的認(rèn)證，即使用4-6位數(shù)字碼進(jìn)行認(rèn)證?；陔娮余]件或SMS短信發(fā)送認(rèn)證令牌來實現(xiàn)2FA的方法也屬于這類攻擊范疇。毫無疑問，PIN碼安全性的熵其實非常低，無論你準(zhǔn)備按數(shù)字順序破解還是隨機(jī)破解，暴力破解的實施難度都不大。

接下來，我們將對一個虛擬的JSON服務(wù)發(fā)起攻擊。首先，我們要配置有效的服務(wù)請求。然后再請求body中，我們還需要對PIN碼生成器進(jìn)行正確編碼。因此，我們需要JSON編碼器來引用這些值。除此之外，我們還需要將PIN碼長度填充到正確長度。

用于實現(xiàn)數(shù)據(jù)填充的pad對象包含一個簡單的循環(huán)計數(shù)器（0-9999），因為這里有效的PIN碼是4位數(shù)字，所以我們需要在數(shù)字前填充額外的‘0’來制作4位數(shù)字PIN碼，我們還可以利用同樣的技術(shù)來制作6位或8位數(shù)字PIN碼。

大家可以根據(jù)自己的需要來配置請求數(shù)量并降低timeout。跟針對基礎(chǔ)認(rèn)證的暴力破解攻擊不同，這種類型的攻擊需要根據(jù)目標(biāo)應(yīng)用程序的特性來設(shè)計。

基于表單的認(rèn)證

基于表單的認(rèn)證機(jī)制是目前Web最常見的身份驗證方案。實際上，幾乎任何一個PHP應(yīng)用都實現(xiàn)了這種認(rèn)證，但大多數(shù)的安全性都不高。為了發(fā)動針對表單認(rèn)證的暴力破解攻擊，我們這里需要設(shè)置目標(biāo)應(yīng)用程序所需要的參數(shù)。我們可以使用AppBandit Proxy或類似HTTPView這樣的工具來捕捉信息。

這里我們可以稍微轉(zhuǎn)變一下思路，比如說，我們不需要用很多密碼去測試一個賬號，我們可以用一小部分的常用密碼來測試大量的賬號。接下來，我們需要設(shè)置一個用戶列表生成器。首先，我們要定義一些變量，并提升攻擊的可配置性。

我們現(xiàn)在使用了一些字典（大多數(shù)來自seclists），我們可以動態(tài)生成電子郵件地址。實際上，我們還可以同時對多個域名實施攻擊。

現(xiàn)在，我們要添加一百個常用密碼（使用另一個seclists字典），結(jié)果如下：

在真實的攻擊場景中，你可能還需要觀察控制臺中的響應(yīng)請求，因為在很多情況下我們可以通過分析有效cookie來了解攻擊是否成功。

總結(jié)

目前還沒有任何一個安全系統(tǒng)可以完全抵御這種類型的攻擊，因為攻擊者可以通過多種方式來實現(xiàn)密碼爆破攻擊。坦白的說，只要我們還在使用密碼，我們就是不安全的。雖然雙因素身份認(rèn)證機(jī)制是目前比較安全的一種方案，但是它同上是作為一種可選項出現(xiàn)的，而且在某些情況下2FA同樣能夠被繞過。

以上是“怎么利用暴力破解攻擊打進(jìn)目標(biāo)Web服務(wù)器”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道！