Web 弱密码暴力破解

admin 2024年2月9日00:50:11评论9 views字数 1206阅读4分1秒阅读模式

暴力破解法(Brute Force)又被称为穷举法,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。

暴力破解一般来说有三种方式:

  • 排列组合:将数字、大写字母、小写字母、各种特殊字符排列组合,若是在不知道密码的长度情况下需要更多的逐渐增多位数,这样的运算量非常的大,这种方法需要高性能的破解算法和CPU/GPU做支持。

  • 字典破解:通过社会工程学与人们常用的密码建立破译字典,然后逐个尝试。

  • 排列组合+字典破解:两种方式的结合,增大破解的几率

从暴力破解的方式我们就可以看出来,他有一个简单、通俗易懂的名字,叫做:猜。一个个试,总有一天可以试出来,因为大小写字母、数字、特殊符号的个数是有限的,他们的排列组合也是有限的,只是特别多而已。

这样的方式在遇到弱口令是十分有效的,例如简单的 123456电话号码abcde

所以只要密码设置的足够长,足够复杂便可以防范暴力破解这样的攻击方式。

暴力破解在 web 应用中主要用于用户登陆环节的破解,例如网页端的登陆、QQ、邮件、FTP、VNC、Telnet 等等。

可以看到这样的方式是非常消耗时间,穷举就是一种以时间换结果的一种方式。所以主要在两个时候使用:

  • 攻击初期:尝试管理员用户的登陆密码是否为弱口令,或者是默认用户名密码。若是得到管理员用户名密码后面的攻击将会简单许多。

  • 攻击末期:很难找到对方的漏洞与逻辑薄弱点,就只能尝试暴力破解。

在 Kali 中有两个暴力破解的工具很受人的喜爱:

  • burpsuite:拥有 web 界面,功能非常齐全,从代理到扫描、爬虫、修改发送数据包等等。总的来说:简单、易用、功能全。

  • hydra:著名黑客组织 thc 的一款开源的暴力破解工具,主要对需要网络登录的系统进行快速的字典攻击,包括 FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS 等协议!

这两个工具,你们可以自己去安装使用,网上都有教程,我这里只是讲一下原理而已。

不断通过尝试字典值,判断返回值从而查看是否破解成功

Web 弱密码暴力破解

Web 弱密码暴力破解

我们可以看到其实就是用户名与密码不断的尝试匹配的结果。

暴力破解的原理很简单,但是不同工具使用不同的算法机制,使用不同的字典所带来的效率是不同的。

所以暴力破解是万不得已的做法,效率太低,而且破解成功的几率不高。

同时防范暴力破解方法十分简单,将密码设置的尽量长,尽量复杂,同时包含有大小写字母、数据、特殊符号。对于开发人员,所有的组件尽量不要使用默认的账户与密码。

原文始发于微信公众号(黑客网络安全):Web 弱密码暴力破解

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月9日00:50:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Web 弱密码暴力破解https://cn-sec.com/archives/2463872.html

发表评论

匿名网友 填写信息