Web 弱密码暴力破解

暴力破解法(Brute Force)又被称为穷举法,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。

暴力破解一般来说有三种方式:

  • 排列组合:将数字、大写字母、小写字母、各种特殊字符排列组合,若是在不知道密码的长度情况下需要更多的逐渐增多位数,这样的运算量非常的大,这种方法需要高性能的破解算法和CPU/GPU做支持。

  • 字典破解:通过社会工程学与人们常用的密码建立破译字典,然后逐个尝试。

  • 排列组合+字典破解:两种方式的结合,增大破解的几率

从暴力破解的方式我们就可以看出来,他有一个简单、通俗易懂的名字,叫做:猜。一个个试,总有一天可以试出来,因为大小写字母、数字、特殊符号的个数是有限的,他们的排列组合也是有限的,只是特别多而已。

这样的方式在遇到弱口令是十分有效的,例如简单的 123456电话号码abcde

所以只要密码设置的足够长,足够复杂便可以防范暴力破解这样的攻击方式。

暴力破解在 web 应用中主要用于用户登陆环节的破解,例如网页端的登陆、QQ、邮件、FTP、VNC、Telnet 等等。

可以看到这样的方式是非常消耗时间,穷举就是一种以时间换结果的一种方式。所以主要在两个时候使用:

  • 攻击初期:尝试管理员用户的登陆密码是否为弱口令,或者是默认用户名密码。若是得到管理员用户名密码后面的攻击将会简单许多。

  • 攻击末期:很难找到对方的漏洞与逻辑薄弱点,就只能尝试暴力破解。

在 Kali 中有两个暴力破解的工具很受人的喜爱:

  • burpsuite:拥有 web 界面,功能非常齐全,从代理到扫描、爬虫、修改发送数据包等等。总的来说:简单、易用、功能全。

  • hydra:著名黑客组织 thc 的一款开源的暴力破解工具,主要对需要网络登录的系统进行快速的字典攻击,包括 FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS 等协议!

这两个工具,你们可以自己去安装使用,网上都有教程,我这里只是讲一下原理而已。

不断通过尝试字典值,判断返回值从而查看是否破解成功

我们可以看到其实就是用户名与密码不断的尝试匹配的结果。

暴力破解的原理很简单,但是不同工具使用不同的算法机制,使用不同的字典所带来的效率是不同的。

所以暴力破解是万不得已的做法,效率太低,而且破解成功的几率不高。

同时防范暴力破解方法十分简单,将密码设置的尽量长,尽量复杂,同时包含有大小写字母、数据、特殊符号。对于开发人员,所有的组件尽量不要使用默认的账户与密码。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

图片

同时每个成长路线对应的板块都有配套的视频提供:

图片

学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
在这里插入图片描述

面试刷题

在这里插入图片描述

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

图片
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | 优快云大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值