pikachu靶场之暴力破解

第一关：基于表单的暴力破解 

题目：

分析：表单破解即不知道用户和密码，利用穷举尝试去爆破

解决：

（1）使用burpsuit抓包：将抓到的报文send to intruder

(2)在intruder模块中设置配置

position位置:选username和password的值（如（1）中的图）

Attack Type:选Cluster bomb（因为有两个变量）

Payload设置：由于position设置了两个，所以需要两个爆破的字典

(3)设置完成后start attack即可

找到Length不同于其他的即为可登录的账户和密码

第二关 ：验证码绕过(on serve)

当我们不知道账户和密码且有验证码时，可以尝试输入去看有什么变化

情况1：

当我们输入的验证码正确而账户密码错误时，可以看到返回的是"user or passwprd is not exists"

情况2：

当我们输入的账户、密码和验证码都错误时，返回的是“验证码错误”，并且每次提交之后浏览器都会重新刷新验证码

思考 ：

既然刷新网页验证码就会改变，那么是不是不刷新网页的话验证码就是一直有效的，相当于只要爆破用户和密码就可以成功登录了。

因此可以用bp的repeater模块配合Intruder模块去尝试爆破

尝试

可以看到，当将用户或者密码修改而验证码不变时，返回的依然是 "user or passwprd is not exists"，说明验证码有效，配合Intruder模块爆破出来的用户和密码，再send,发现登录成功了。

 漏洞原因分析

分析漏洞就要找到源代码，查看本关的源代码

可以看到，验证码的语句处理完之后并没有将$_POST['vcode']进行销毁，导致可以被重复多次利用。

为了防范暴力破解和验证码绕过等安全漏洞，可以采取以下措施：

1. 强化验证码机制

• 复杂验证码：使用复杂的验证码，包括字母、数字和符号的组合，并增加验证码的长度。

• 动态验证码：每次请求都生成新的验证码，避免使用静态验证码。

• 验证码时效性：设置验证码的有效期，过期后需要重新生成。

• 多因素验证：结合使用多种验证方式，如短信验证码、邮箱验证码等。

2. 限制登录尝试次数

• 锁定账户：在多次登录失败后，锁定账户一段时间，防止暴力破解。

• IP限制：限制同一IP地址的登录尝试次数，超过限制后暂时封禁该IP。

• 验证码强制使用：在多次登录失败后，强制要求输入验证码。

3. 安全配置

• 安全头设置：确保服务器和应用程序正确设置安全头，如Content-Security-Policy、X-Frame-Options等。

• 日志记录：记录所有登录尝试，包括失败的尝试，以便监控和分析潜在的攻击。

• 定期审计：定期对应用程序进行安全审计，检查和修复潜在的安全漏洞。

4. 加密和安全通信

• HTTPS：确保所有通信都通过HTTPS进行，防止中间人攻击。

• 加密存储：敏感信息如密码、验证码等应加密存储。

• 安全库和框架：使用经过验证的安全库和框架，避免使用过时或不安全的组件。

5. 用户教育和意识

6. 代码审查和测试

 

• 强密码策略：鼓励用户使用强密码，并定期更换密码。

• 安全提示：在用户登录时提供安全提示，如“不要在公共设备上保存登录信息”。

• 代码审查：定期进行代码审查，确保没有潜在的安全漏洞。

• 安全测试：使用自动化工具和手动测试方法，进行安全测试，如渗透测试、模糊测试等。

  • 双因素认证：推广使用双因素认证（2FA），增加额外的安全层。