暴力破解密码

预防暴力破解方法

1、高强度密码，定期更换

2、加强验证方式，比如加图片验证码、ssh使用私钥登陆，更换默认端口等

3、对暴力破解IP进行屏蔽

 

常用工具 https://www.cnblogs.com/bonelee/p/9322684.html

burpsuite

hydra

medusa

patator

brutespray

msf

 

pikachu靶场上有4种爆破场景

 

 1、基于表单爆破最简单，这里我使用bp（burpsuite）抓包然后放到intruder模块直接爆破，自己准备字典就行，这里推荐一个我在github找到的字典库 https://github.com/nikissXI/FuzzDict

这种爆破只要找响应页面大小不一样的即可

2、基于服务器的验证码绕过，这里的验证码比较水，那个验证码是一直有效的，如果不是一直有效的话那就没法硬爆破了

3、基于客户端的验证码绕过，这种验证码设置在前端，服务器那边一般是不会校验的，如果不校验可以直接在爆破报文中把验证码删了，如果需要留着就行，不用管

4、token防爆破，每次提交都会验证token，导致不能直接爆破，需要把token值也设置为变量，每爆破一次就把响应报文中返回的token值更新到爆破报文中，具体方法网上很多，这里不细说