ブルートフォース

：ミラー王漁陽

私は言いました：ブルートフォースは運と結晶化の速度の結果であり、ブルートフォースの開始は香の棒を燃やすことが必要である前に！

元帥張ビングは、文を引用：「セキュリティの意識があなたの運と管理者に直接比例しています。」

悪弊

HydraはFTP、MSSQL、MySQLの、POP3、SSHおよびその他のブルートフォースをサポートするオープンソースブルートフォースツールです。

「ウェブの安全な深さの分析」の導入

パラメータ	説明
-R	進捗状況は、ひび割れ開始に続きます
-S	SSLリンクを使用して
-s [ポート]	指定したポートのポートを使用します
-I [ログイン]	指定されたログイン名を使用します
-L [ファイル]	使用して、ユーザー名を指定した辞書
-p [PASS]	割れ指定されたパスワードを使用して
-P [パス]	指定されたパスワード辞書の亀裂を使用します
-e [N / m]と	N：空のパスワードの誘惑、指定されたアカウントとパスワードを使用して誘惑よ
-C [ファイル]	例えば使用コロン区切り形式、：「ログイン：パスワード」の代わりに-L / -Pパラメータの
-M [ファイル]	ファイルのターゲットリストを指定します
-o [ファイル]	結果の出力ファイルを指定します。
-f	正常終了の亀裂割れた後、
-t [タスク]	実行中のスレッドのセット（デフォルト16）
-w [時間]	設定された最大タイムアウト
-v	プロセスの詳細を表示します
サーバ	送信先IP
サービス	指定されたサービス・ブレーク

hydra -l ** -P ./pass.txt -o PASS.txt [server_ip] [service]

MySQLサービスブレーク
```
$ hydra -l root -P C:\Users\Mirror\Desktop\pass.txt 127.0.0.1 mysql
```
使用する-l -Pソリューションを推測するために指定されたユーザー名とパスワード辞書を

SSHサービスをクラック

$ hydra -l root -P root/ssh_pass.txt 192.168.2.172 ssh

メデューサの良い名前「メドゥーサ」メデューサの機能が内蔵されたテンプレートのサービスの多くをクラックするために、非常に強力です

あなたはメデューサの下で双方向サービスへのアプローチのために~~見ることができます

パラメータ	説明
-h [テキスト]	送信先IP
-H [ファイル]	ターゲットホストサービス
-u [テキスト]	ユーザー名
-U [ファイル]	ユーザー名ファイル
-p [テキスト]	パスワード
-P [ファイル]	パスワード・ファイル
-C [ファイル]	複合エントリ・ファイル
-O [ファイル]	ログファイル情報
-e [N / m]と	N：空のパスワードの誘惑、指定されたアカウントとパスワードを使用して誘惑よ
-M [テキスト]	モジュールの実行
-m [テキスト]	モジュールに渡されたパラメータ
-d	すべてのモジュール名を表示
-n [NUM]	デフォルト以外のポートを使用します
-s	SSLリンクを使用して
-r [NUM]	デフォルトの再試行間隔3秒
-t [NUM]	スレッドのセット数
-L / -f / -q	並列/クラック停止/情報表示モジュール
-v [NUM]	詳細レベル0-6
-Z [text]	继续上一次的扫描

笔者在这里就不用美杜莎做更多的实例证明~~

操作原理和Hydra有相似之处，这里举例一个破解ssh的命令

$ medusa -M ssh -h 192.168.2.172 -u root -P /root/pass.txt

两款都是针对C/S服务的破解软件！

针对C/S架构的web服务，也有不少破解工具，这里的一个典型就是Burp（Hydra和Medusa也可以破解C/S结构的表单）

表单破解的重点就是标志位

Burp-Intruder选项卡中可以实现枚举暴力破解~~ 操作非常的简单~ 网上一搜就有，笔者这里确确实实的不想多说，直接copy链接给大家参考吧！

提高密码复杂度可以有效的提高攻击者的破解难度！笔者从一些机密部门拿到了密码要求：

通常验证码时识别机器和人工的重要手段措施！在防爆密码方面可以有效的遏制密码暴力破解的发生，当然验证码也是可以通过自动化的识别进行绕过的！

暴力破解一个密码，是需要数百次的尝试的！在密码区域添加限制输入次数，例如一小时内只可以填三次密码，三次密码错误后就锁死之类的！（参考银行）