暴力破解学习

最新推荐文章于 2025-11-10 17:35:50 发布
原创 最新推荐文章于 2025-11-10 17:35:50 发布 · 1.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细介绍了暴力破解的过程,包括基于表单、验证码绕过及token防爆破的场景。暴力破解通常利用字典对用户名、密码等信息进行穷举尝试。针对这种情况,文章提出了多种防御措施,如限制登录次数、使用安全验证码以及实施token机制。同时,通过pikachu靶场进行了实际操作演示,展示了如何进行暴力破解测试和验证码的客户端与服务器端验证。

暴力破解

暴力破解的产生是由于服务器端没有限制,导致攻击者可以通过暴力的手段破解所需信息,比如用户名、密码等。
如果破解一个四位数字的验证码,那暴力破解的范围就是0000~9999,所以暴力破解需要一个庞大的字典。 一般我们用 burpsuite 的
intruder 模块进行暴力破解,它可以通过文件方式载入 .txt 文本的字典。关于字典可以到网上下载,样式非常多。
暴力破解的原理就是通过字典里已有的那些字符去一个个尝试登录,理论上说,只要字典足够大,这样的穷举就能够成功。
不过字典越大,工具尝试的次数就越多,那消耗的时间就越长。

暴力破解流程
尝试登录,进行抓包,查看数据包中的信息,观察含有的元素元素,比如可能含有token。

查看返回信息,确认目标是否存在暴力破解的可能。

暴力破解漏洞修复
1、如果用户登录次数超过设置的阈值,则锁定账号。

2、如果某个IP登录次数超过设置的阈值,则锁定IP。(这个方式有一个缺陷,可能一个IP有多个用户使用,那可能导致用户无法登录)

3、使用安全的验证码,比如通过发送手机验证码。

下面通过 pikachu 靶场中的暴力破解模块对几种暴力破解的方式进行测试。

基于表单的暴力破解

进入可以看到一个登录界面。
在这里插入图片描述
先尝试登录,随便输入123/123,可以看到返回信息为不存在,也没有其他的什么验证机制。
在这里插入图片描述
用 burp 抓包,可以看到他的一些元素,只有账号和密码。
在这里插入图片描述
按 ctrl + i 把包发送到 intruder 模块进行暴力破解。

注意如果只爆破一个参数的话,选择 sniper 。但是我们这里需要爆破两个参数,就选择cluster bomb。
在这里插入图片描述
如果标记的信息不只是账号和密码或存在错误,那我们需要重新进行标记。

先点 clear 对标记进行清除,然后在选中我们要爆破的账号密码123/123点击 add 标记。
在这里插入图片描述
在playload 一栏中,payload set处选择2,即爆破2个参数。

进行载入字典,可以点 load 载入字典文件,也可以在 add 那一行进行手动输入可能存在的账号密码。
在这里插入图片描述
最后点击 Start attack 进行爆破,可以看到正在爆破的界面。

通过在length一项来判断,长度不一样的即为爆破成功的信息。
在这里插入图片描述

验证码绕过(on server)

同样是一个登录界面,与前面相比多了一项验证码的输入。
在这里插入图片描述
尝试随便输入123/123/123,这里我们知道输入的三项都是错误的,但是返回信息只显示了验证码错误。
在这里插入图片描述
再尝试随便输入123/123,验证码按要求正确输入。

这个时候才回显了账号或密码错误。
在这里插入图片描述
进行抓包,可以看到数据中的参数与前面相比多了一项vcode,就是输入的验证码的参数。
在这里插入图片描述
这个时候,我们先随便输入账号密码123/123,输入要求的正确的验证码,然后按 ctrl + R 尝试发送到 repeater 模块测试回显。

在箭头所指的搜索栏进行搜索回显信息的关键字(前面我们已经测试了不同填写方式的两种回显),然后就可以看到成功回显了信息,指我们的 username or password 错误,但是验证码正确。
在这里插入图片描述
我们再尝试修改这条请求的信息,把账号或者密码修改一下,再次发送。

根据回显信息得知得到的仍然是账号密码错误,验证码正确的结果。
在这里插入图片描述
也就是说,我们现在抓到的这个包可以直接进行爆破,因为在这个包验证码是可以一直用的,和前面一样爆破账号和密码这两个参数。

回到代理界面,把包发送到 intruder 模块进行爆破,方法和前面一样。
在这里插入图片描述

验证码绕过(on slient)

界面中同样需要输入账号密码、验证码三项。
在这里插入图片描述
老样子,尝试随便输入123/123/123,可以看到有弹窗出现显示验证码错误。
在这里插入图片描述
按要求输入正确的验证码后,就回显了 username or password 错误。
在这里插入图片描述
在这之前,似乎和前面那题没有什么区别。
再用 burp 抓包看看,这里也和前面一样,有账号密码、验证码三个参数。
在这里插入图片描述
再把包发到 repeater 模块进行测试。

这个时候发现即使是错误的验证码,他的响应却没有显示验证码错误,而是显示 username 或 password 错误。
在这里插入图片描述
那这样就证明其实这个验证码是形同虚设的,后端不会对验证码进行验证。

既然验证码正不正确这个请求的响应都是一样的,那就可以直接去爆破了,爆破账号和密码这两个参数。

虽然到此可以进行暴力破解出账户和密码了,不过我们还可以了解一下这个验证码的源码。

在刚刚 repeater 模块测试的时候,可以在响应界面明显发现一串 JavaScript 代码,是与验证码有关的。

这里就体现了前面我们尝试验证码错误的时候是以弹窗的方式出现,而不是和前面一样在界面上回显信息。

而且这个验证码的验证是在客户端上实现的,后台不会对错误的验证码进行验证。

这个 JavaScript 代码里有 createcode() 和 validate() 这两个函数。

createcode() 函数会从0-9和26个大写字母中随机挑选5个作为验证码,然后用 validate() 函数去验证我们输入内容的准确性。
在这里插入图片描述
再回到 pikachu 网页,按 F12 查看源代码,用定位符找到验证码位置处的代码,可以看到每次出现验证码,都会调用createcode() 函数改变验证码。
在这里插入图片描述

token防爆破

进入看到是一个普通的登录界面。
在这里插入图片描述
随便输入123/123,看看是否有啥异常。

显示账号或密码错误,用 burp 进行抓包。

可以看到除了 username 和 password ,还有一个 token 参数。

token 参数就是用来防止暴力破解的,因为 token 是一个随机值,无法被破解。

pikachu靶场后面的 csrf 测试模块中也有 token 这个东西用来防 csrf 漏洞。

这样看来 token 参数是一个很nb的东西(很安全的东西)。
在这里插入图片描述

暴力破解(Burte Force)
西电卢本伟的博客
04-05 1万+
暴力破解弱口令,pikachu靶场
暴力破解——Web安全
qq_44915227的博客
04-19 2846
暴力破解
什么是暴力破解
最新发布
RZer的博客
11-10 1013
暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。 设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。
验证码爆破绕过
小刚的博客
04-02 8899
一,验证码目的: 区分用户是计算机和人 证明自己的身份,手机短信验证码,微信登录等 大多数的网站都会在很多地方设置各种验证码. 防止而已破解密码,刷票等,防止黑客对某一个特定的注册用户进行爆破。 二,验证码种类: 传统字符验证码: 由数字或者汉字组成的图片,通过添加各种噪点增加识别难度,可通过OCR技术进行破解 当验证码只有4位,可直接爆破数字验证码。 如果是6位,在半小时内无限制提交也可以暴力破...
pikachua实验之token暴力破解
qq_42728977的博客
12-12 1075
原理 token只要是用来防御csrf(跨站请求攻击),但无法防止暴力破解。因为当将随机产生的token参数加入到请求包中时。每次请求攻击者只能够盗取到被攻击这的cookice而不能伪造当次请求的token,这是因为token是由服务器随机生成的,只有匹配当次的token,服务器才会与客户端进行连接,否则拒绝连接。而token无法防止暴力破解的原因是因为token是随机生成的,攻击者只要能够想办法...
bugku ctf 输入密码查看flag (暴力破解
热门推荐
qq_42777804的博客
08-14 1万+
进去进去 都说用 burp 暴力破解      那我也来一下吧   其实 他题目 已经给了 提示  爆破   那就 老规矩 burp拦截 之后发送给  intruder   我随便输的密码 选择数字型的   五位数 那就从 10000~99999   一步一步来 之后   等一会,上趟厕所接杯水       还没全部弄完发现 ...
pikachu靶场之暴力破解学习笔记
Mbys_Lettuce的博客
11-07 324
暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
pikachu漏洞练习平台之暴力破解学习
shallon的博客
05-20 391
1.基于表单的暴力破解 没有验证码,可以直接跑字典进行破解,burp直接抓包 添加变量
渗透学习心得-暴力破解
qq_54764105的博客
01-24 3511
//环境:1、用于测试的渗透网站 2、burpsuite 先导 1、首先将环境的配置(跳过) 2、burpsuite的基本功能 3、对网站的漏洞分析以及如何利用burpsuite进行爆破 正文 1、burpsuite主要主要用于对数据进行抓包 如图将intercept开启可以将所有数据捕获并进行拦截,阻止数据向后台传递,因此页面将无法正常加载。此时若点击Drop会将当前页面请求删掉,页面无法得到回应会提示Error;若点击forward会将页面请求传输到后台得到回应正...
一.暴力破解学习
qq_43387510的博客
01-12 749
暴力破解 1.1、暴力破解原理和测试流程 1.1.1、简介:连续性尝试+字典+自动化 1.1.2、字典:一个有效的字典,可以大大提高暴力破解的效率 常用的账号密码(弱口令),比如常用用户名/密码TOP 500等。 互联网上被脱裤后账号密码(社工库),比如XXX当年泄漏的约600w用户信息。 使用指定的字符使用工具按照指定的规则进行排列组合算法生成的密码。 1.1.3、 如果一个网站没有对登录接口实施防暴力破解的措施,或者实施了不合理的措施。则该称该网站存在暴力破解漏洞。 是否要求用户设置了复杂的密码;
暴力破解字典(千万级别)
12-02
超实用暴力破解字典,千万级,好用,话不多说,自己下。。。 方便做渗透实验。。。。。。。。。。。。。。。
利用暴力攻击破解登陆密码
qq_42801460的博客
06-02 866
之所以出现这种情况,是因为这种类型的软件相对容易访问,数量也很多,同时默认情况下允许远程使用,而且大部分都是自定义的,此外,它们还会随着层出不穷的Web技术而不断变化。为此,可以从下拉菜单中添加一个字典项目,然后搜索“password”,即可找到由最常用的密码组成的列表,以及从以往著名的数据泄露事件中收集的实际密码所组成的列表。如果正确的实现的话,基于表单的身份验证应该对自动化的密码猜测具有很强的“弹性”,但是说起来容易做起来难呀,毕竟现实中有太多的特殊情况,而这些都是需要给予特殊处理的。
1、使用BurpSuite暴力破解登录密码
D516701881的博客
12-17 1万+
1、使用BurpSuite暴力破解登录密码1.环境准备1.1 PC端设置BurpSuite设置代理1.2.靶机环境2.密码破解漏洞2.1.漏洞简介2.2.常见应对策略2.2.1.强密码策略2.2.2.验证码策略2.2.3.锁定策略2.2.4.加密策略2.2.5.TOKEN验证码3.密码破解攻击3.1.环境配置3.2.抓包3.3.配置攻击3.3.1.攻击类型3.3.2.目标字段3.3.3.有效载荷3.3.4.选项配置3.4.执行攻击 1.环境准备 1.1 PC端设置BurpSuite设置代理 打开BurpSu
burp跑字典,验证码破解4/6
YH,生活越来越好
05-16 7633
Burp Suite 是一种常用的网络安全测试工具,它可以通过暴力破解的方式来。如何使用 Burp Suite 进行呢?
网络安全工程师必知的暴力破解知识
weixin_51725318的博客
11-22 2768
网络安全工程师必知的暴力破解知识
安全小课堂丨什么是暴力破解?如何防止暴力破解
a38417的博客
04-23 8644
比如一个6位并且全部由数字组成的密码,可能有100万种组合,也就是说最多需要尝试100万次才能找到正确的密码,但也有可能尝试几次后就能找出正确的密码。从理论上来说,只要字典足够庞大,枚举总是能够成功的,也就是说任何密码都能被破解,只是时间的问题。这些方法被称为字典式攻击。一些黑客会整个运行未经删减的词典,并在单词中增加特殊字符和数字,或者使用特殊的单词词典,但这种类型的顺序攻击非常繁琐。这样一来,您就可以针对自己访问的所有网站创建极长且复杂的密码,并且安全地存储,而您只需要记住密码管理器的一个密码就够了。
网络安全暴力破解
Z4400840的博客
05-13 3684
暴力破解也称为字典攻击,通常被用于攻击网站的用户账户名/密码。使用自动化脚本以枚举的方式尝试所有可能的用户名或密码组合。通过攻击用户的账户名和密码,窃取用户个人信息或获取网站管理权限等。暴力破解也被称为枚举测试、穷举法测试,就是将每个可能的结果逐个比较,直到找出正确的结果为止。①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析。
暴力破解及BurpSuite
qq_67812668的博客
08-06 4738
暴力破解的危害侵犯隐私:暴力破解可能会导致个人隐私泄露,比如银行账户、电子邮件、社交媒体账号等。这些信息可能被黑客用于从事非法活动,比如盗窃财产、诈骗等。经济损失:暴力破解可能会导致经济损失。黑客可以利用被盗的账号,进行网络钓鱼、诈骗、恶意软件攻击等活动,从而获取非法收益。数据破坏:暴力破解也可能导致数据破坏和系统崩溃。黑客可能会试图入侵系统并修改或删除重要文件,从而损坏数据或系统。这不仅会影响个人的业务运作,还可能影响整个企业或机构的稳定运行。
pikachu暴力破解python代码
09-06
很抱歉,但是根据提供的引用内容中没有提到pikachu的暴力破解Python代码。其中引用提到了Pikachu是一个带有漏洞的Web应用系统,可以作为Web渗透测试学习的靶场。引用提到了暴力破解的定义和缺点,但没有具体提到与...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值