Pikachu-Burt Force（暴力破解）

首先呢，先推荐个bilibili的网址，这个Pikachu的开发人，里面有其相关教程的视频　————>　bilibili链接

 

暴力破解

暴力破解概述（通过下面几个词来了解下什么是暴力破解）

　　连续性尝试 + 字典 +自动化  ————>（瞎猜）

暴力破解漏洞概述

　　✔是否要求用户设置啦复杂的密码；

　　✔是否每次认证都使用安全的验证码；

　　✔是否对尝试登录的行为进行判断和限制；

　　✔是否在必要的情况下采用双因素认证；……等等

暴力破解漏洞测试流程

1、确认登录接口的脆弱性

　　确认目标是否存在暴力破解的漏洞。（确认被暴力破解的“可能性”）

　　比如：尝试登陆——抓包——观察验证元素和response信息，判断是否存在被暴力破解的可能。

2、对字典进行优化（根据实际情况来优化字典，提高效率）

3、工具自动化操作

　　配置自动化工具（比如线程、超时时间、重试次数等）

 

现在开始我们的正题

 一、基于表单的暴力破解

1.先尝试性的登录下（右上角的提示有用户和密码） 登录失败，登录成功

   

 

 

 2.1抓包，全选发送到Intruder模块

可以看到这个表单暴力破解，只有用户和密码　　没验证码

 

 

 

 

 

 

2.2现在开始Clear清除下变量，，再Add　username和password的变量，选择攻击模式为cluster bomb

各种攻击模式的区别：

●Sinper：一个变量设置一个payload进行攻击

●Battering ram：可以设置两个变量，把payload同时给两个变量

●Pitchfork：两个变量分别设置payload，然后按顺序一 一对应进行破解

●Cluster bomb：两个变量分别设置payload，然后交叉列所有情况进行破解（常用）

 

2.3，字典是我为实验方便写了几个简单的，：

由于是Cluster bomb攻击模式，密码字典需要设置2个（可以一样）

 

2.4最后option可以根据自己需要设置线程，有的Burt suite好像不支持高并发

 

 2.5　　grep match模块，大多数情况下我们根据返回页面的length不同观察，但是也可以自己设置falg

将第一步中用户密码登录失败的提示语句复制到下方（username or password is not exists）

 

 

 3.攻击

 

 4.查看结果，得出用户和密码

除了根据返回的length的不同之外，还可以根据是否有   错误的返回的标志   来判断

 

二、暴力破解之验证码绕过（on client）客户端绕过

观察网页源码

这一关虽然加了验证码，但是通过观察源码可以发现，输入的验证码是通过前端的js进行验证，很轻松就可以绕过，可以说形同虚设

 

1.输入

 

2.1设置代理，登录，抓包

2.2发送到Repeater（Repeater中特别方便不用反复设置代理，抓包）

 

 2.3　Go　下面可以看出，是否输入验证码，或者是否输入正确的验证码已经不会再检测

 

 

 

 2.4现在　就和基于表单的暴力破解方法一致了

发送至Intruder，还是只有用户和密码两个变量，验证码不用管

设置payload，设置options

 

 3.攻击，查看结果，获得用户和密码

 

 

三、暴力破解之验证码绕过（on server）服务端绕过

不安全的验证码- on server常见问题

 ● 验证码在后台不过期，导致长期被使用

 ● 验证码校验不严格，逻辑出现问题

 ● 验证码设计太过简单和有规律，容易被猜

 

观察源码，这个是在后端的检测的验证码，我们绕过的思路就是观察他产生的验证码有没有过期设置（用过一次刷新），

如果没有，默认的session就是24min刷新

 

 

 

既然知道啦这个验证码在后台生成后，便不会过期，那我们在抓包暴力破解时，直接随便用一个之前生成的验证码即可

1.1抓包，发送给Repeater

 

 

1.2验证下，是否已验证过的 验证码不会删除    

Go一下

 

 

 

我们修改下用户和密码，使用同样的验证码，再次Go一下

如果还是显示用户或密码错误，，没提示验证码错误，，说明　　后台的   已用过的验证码   没有删除

 

 

 说明验证码是可以重复利用的，

 

2.现在我们开始暴力破解，还是之前的操作

发送给Intruder，，选择用户和密码两个变量，，验证码用之前的就行，，选择攻击模式

设置payloads，，设置options（options也可以不修改，这里的Grep Match中的flag不能作为判断正确用户密码的标志，我们采用Length长度不同来判断即可）

3.攻击，查看Length不同于其他的，取得用户和密码

 

 

 

四、暴力破解之token防爆破？

token一般的做法：

　　1、将token以 “type= ‘hidden’ ”的形式输出在表单中；

　　2、在提交的认证的时候一起提交，，并在后台对其进行校验；

但，由于token值输出在了前端源码中，容易被获取，因此也就失去了防暴力破解的意义。

一般token在防止CSRF（跨站请求伪造）上会有比较好的功效，具体在CSRF漏洞部分再深入。

 

开始具体实验，查看网页源码（每次刷新后的token值是不一样的）

但是由于　token是明文方式输出到html表单中，

攻击者只要写一个工具每次提交认证前获取一下这个值，然后添加到自己的字典里面，就可以进行连续性的存放

所以说用token防暴力破解是没有用的

这样每次提交要验证token值（每次更新），表面上可以防止。但是他后端产生的token每次以明文形式传到前端，就有了漏洞。

1.1抓包之后，发送到Intruder，我们把token和密码设置变量，

破解模式选为pitchfork

 

1.2在options中的grep-extract中打勾点击add，

添加过滤条件  点击refetch response  

找到响应包中的token  复制到别处先  再选中token值     点击确定（我这里是379945e70d48a4e311393118204）

 

 

1.3将options最下方的redirections选择为always

 

 1.4然后设置payload，第一个参数设置不在赘述（和以前破解密码一样），

第二个参数选择Recursive grep，然后将options中的token作为第一次请求的初始值。（把之前复制的token值复制到这）

 

 2.破解（点击start attack）

出现错误，提示Recursive grep不支持多线程并发，将其改为1就行啦

 

 获取密码

 

 

 

防暴力破解的措施总结

● 设计安全的验证码（安全的流程+负载而又可用的图形）；

● 对认证错误的提交进行计数并给出限制，比如连续5次密码错误，锁定2小时；

● 必要的情况下，使用双因素认证；