暴力破解原理及工具 - 安全工具篇

2019/04/19 22:42
阅读数 113

暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的。

Burp Suite

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

破解教程:https://www.52pojie.cn/thread-691448-1-1.html

开始爆破

准备靶机:这里用DVWA,直接设置到high
准备字典:这里用Nmap提供的用户名和密码字典

root@kali:~# ls  /usr/share/nmap/nselib/data/ | egrep "password|username"
passwords.lst
usernames.lst

配置代理:


配置burpsuite代理
配置浏览器代理

And Start...

清理brupsuite旧配置

注意:使用前,先清理旧配置和浏览器缓存。

代理拦截发送到入侵模块
配置参数,注意选pitchfork攻击类型
获取页面上的token值
配置密码列表

配置token

注意:需要把第一个获取的token添加上

破解成功,按Length查看结果

The End !!!

防止暴力破解

1、使用Anti-CSRF token,防止无脑暴力破解
2、设置登录失败次数,限制暴力破解,三次错误登录,用户被锁定15分钟。
3、使用POST提交用户名和密码,更加安全,并对用户输入进行过滤处理。
4、使用预编译处理机制,防止SQL注入。

了解更多BurpSuite技巧:BurpSuite-最详细教程使用手册

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部