【web安全】密码爆破讲解，以及burp的爆破功能使用方法

前言

菜某总结，欢迎指正错误进行补充

密码暴力破解原理

暴力破解实际就是疯狂的输入密码进行尝试登录，针对有的人喜欢用一些个人信息当做密码，有的人喜欢用一些很简单的低强度密码，我们就可以针对性的生成一个字典，用脚本或者工具挨个去尝试登录。

所以密码要是太复杂时间就会很长。

密码可以被暴力破解的前提

1.没安装waf，或者安装了waf没有开启流量拦截

2.没有规定输入密码多少次后无法继续输入

3.没有验证码，或者验证码生成在数据包中与输入的验证码进行比对。

4.判定输入密码次数等是根据数据包中的ip等判定，我们就可以用字典变换ip去绕过

暴力破解的一些思路技巧

1.先通过注册界面，判定账号密码的输入格式和长度，避免一些无用功

2.优先通过社工等，收集一些个人信息，（我觉得如果你问问，百分之70的人身边一定有人喜欢用跟自己的信息有关的密码，我身边就不少，甚至盲猜出来了室友的QQ号）优先用一些信息作为字典，去跑这些字典。

3.判断一下他的验证码，很多小网站的验证码压根是个摆设，仔细回想一下，是不是遇见过那些输错了密码提示密码错误，而且验证码确没有变的情况。

4.爆破前，先抓包，判断一下有没有token或者验证码直接出现在了在数据包中，只要跟数据包中一致就算验证成功。

5.判断他有没有限制次数，有的话有心去判断一下他是判断的ip呀还是什么的去绕一绕试试，实在不行下一个网站得了。

6.如果是用burp进行爆破的话需要看一下数据包中的密码是不是加密了，一般https的都会加密，这时就不能直接把字典输入进去了，需要加一下密再执行。

7.要是没啥限制条件，干脆直接写个脚本爆破算了，从0开始爆破，让他跑个一周半月一年的，反正早晚都能干出来，多开俩线程啥的，当个挂机游戏吧。

8.默认密码，无密码。都是有的。phpstudy的mysql数据库就是默认账号root密码root，到时候他要是没改密码的话直接就进去了。

可能我们经常登录那种大型网站习惯了，感觉好像这些条件很多都不满足，但是如果用语法搜一下那些公司的小型服务网站，就会发现很多网站的页面都是满足上述条件的。

写文章的时候就找到了几个，有一个还爆破成功了。

（因为涉嫌进去的风险我就不拿真网站做案例了。。。。）

burp的intruder功能总结

我当年记得笔记我直接粘贴过来了

intruder密码爆破

攻击模式

1.sniper狙击手模式

把字典挨个往目标中带入?????

2.battering ram攻城锤

在多个位置放入相同的攻击载荷

3.pitchfork草叉

两组载荷，一一对应的带入。

如果一组载荷多于另一组，无法对应则停止。

4.cluster bomb集束炸弹

交叉匹配，挨个载荷全都对应

加密模式

根据需求选上就行了

案例演示

这里用pikachu靶场进行演示

这时输入正确密码时的数据包

用户名admin，密码123456。

发送后会提示登陆成功

?

好那么我们开始密码爆破

这里使用burp进行密码爆破，其实有些特殊的需求也可以写代码有针对性的进行爆破。

首先我们看账号和密码都是明文的，没有被加密过。

那么我们直接在password这里进行字典爆破就可以了。

随便输入个密码给他发到爆破模块

intruder模块

?

绿色的标识就是进行字典替换的位置

我们先删除，再选中password的位置进行字典的替换。

之后选择狙击手模式进行爆破

当然这里我为了节省时间字典很少，如果你执意要破解弱口令的密码，可以直接狠狠地从他要求的最小长度开始替换，就是花费时间

这里得出结果

用长度进行排序，可以看到不输入，和123456的时候返回长度不相同

那么密码就是123456

加密情况

当然，像大部分的https以及部分的http都是加密的数据包，我们就不能这样直接发送明文的数据，必须要把他加密成相应的格式才可以。

有的加密是常见且可破解的，如md5，我们可以用burp自动加密成md5的形式。

?

选上发送的就是加密后的数据了

一些形同虚设的防范方法绕过

1.验证码输错之后他不变，那人工输上就可以不管他了

2.限制次数，但是根据ip限制，那固定改数据包ip就行了

?