暴力破解原理及工具 - 安全工具篇

暴力破解的原理就是使用攻擊者本身的用戶名和密碼字典，一個一個去枚舉，嘗試是否可以登陸。由於理論上來講，只要字典足夠龐大，枚舉老是可以成功的。

Burp Suite

Burp Suite 是用於攻擊web 應用程序的集成平臺，包含了許多工具。Burp Suite爲這些工具設計了許多接口，以加快攻擊應用程序的過程。全部工具都共享一個請求，並能處理對應的HTTP 消息、持久性、認證、代理、日誌、警報。

破解教程：https://www.52pojie.cn/thread-691448-1-1.html

開始爆破

準備靶機：這裏用DVWA，直接設置到high
準備字典：這裏用Nmap提供的用戶名和密碼字典

root@kali:~# ls  /usr/share/nmap/nselib/data/ | egrep "password|username"
passwords.lst
usernames.lst

配置代理：

配置burpsuite代理

配置瀏覽器代理

And Start...

清理brupsuite舊配置

注意：使用前，先清理舊配置和瀏覽器緩存。

代理攔截髮送到入侵模塊

配置參數，注意選pitchfork攻擊類型

獲取頁面上的token值

配置密碼列表

配置token

注意：須要把第一個獲取的token添加上

破解成功，按Length查看結果

The End !!!

防止暴力破解

一、使用Anti-CSRF token，防止無腦暴力破解
二、設置登陸失敗次數，限制暴力破解，三次錯誤登陸，用戶被鎖定15分鐘。
三、使用POST提交用戶名和密碼，更加安全，並對用戶輸入進行過濾處理。
四、使用預編譯處理機制，防止SQL注入。

瞭解更多BurpSuite技巧：BurpSuite-最詳細教程使用手冊