今天將基於Pikachu平臺練習有關暴力破解內容。web
先來簡單地介紹一下:後端
「暴力破解」是一攻擊具手段,在web攻擊中,通常會使用這種手段對應用系統的認證信息進行獲取。 其過程就是使用大量的認證信息在認證接口進行嘗試登陸,直到獲得正確的結果。 爲了提升效率,暴力破解通常會使用帶有字典的工具來進行自動化操做。理論上來講,大多數系統都是能夠被暴力破解的,只要攻擊者有足夠強大的計算能力和時間,因此判定一個系統是否存在暴力破解漏洞,其條件也不是絕對的。 咱們說一個web應用系統存在暴力破解漏洞,通常是指該web應用系統沒有采用或者採用了比較弱的認證安全策略,致使其被暴力破解的「可能性」變的比較高。 這裏的認證安全策略, 包括: 1.是否要求用戶設置複雜的密碼;
2.是否每次認證都使用安全的驗證碼(想一想你買火車票時輸的驗證碼~)或者手機otp;
3.是否對嘗試登陸的行爲進行判斷和限制(如:連續5次錯誤登陸,進行帳號鎖定或IP地址鎖定等);
4.是否採用了雙因素認證;
千萬不要小看暴力破解漏洞,每每這種簡單粗暴的攻擊方式帶來的效果是超出預期的!安全
而後開始練習:工具
先用burpsuite抓包看看網站
輸入一點東西ui
發送這個包到Intruder,攻擊方式選擇Cluster bomb,並自行設置字典3d
將字符串username or password is not exists複製到burpsuite的Grep-Matchserver
而後開始攻擊blog
總共找出了三個帳戶token
登錄成功
先試一試正確的驗證碼康康:
看一下該網站驗證機制是怎麼寫的
這就寫的真的搞笑了~
因此我如今須要幹什麼爆破呢~直接把上一解拿過來用不就行了~
因此,我很無恥地去看了源代碼:
Duck沒必要這個亞子,哥們……
好了,那就直接爆破好了。
設置爆破字典
發現幾個帳戶均可以:
成功登陸
emmmmmmmmmm……
我就忘了關ATTACK了,結果他給我跑出了第四個帳戶……
試試吧:
不對欸……
千古謎題,我不知道爲何會這樣,應該是某個過濾條件沒注意到……
先嚐試一個錯誤的用戶名和密碼加上正確的驗證碼
抓到的包發給repeater
發現原先的驗證碼仍然可使用,確認是發一次包在後端沒有進行刷新。
那麼暴力破解,直接用原來的驗證碼就能夠。
破解步驟和上面的同樣了……
登錄成功
廢話很少說,直接抓包
發現提交了token
因爲後端是先驗證每次用戶提交的隨機的token再進行後續的驗證,因此每次都得考慮繞過token檢驗。
使用pitchfork,token值也要加上payload
設置好token的payload
最後長度不同的就是正確的用戶名和密碼
根據以前的結果可知這個確定是正確滴~