ブルートフォースブルート

ブルートフォース

 

Webセキュリティ

実験報告

 

実験1

ブルートフォース

 

 

 

学生の名前	陳シュピーゲル
年	2017
地区チーム	17ネット4
インストラクター	あなたの意見

 

1.ブルート
Burteフォース（総当たり）の概要

手段を備えた「ブルートフォース」攻撃は、ウェブ攻撃で、一般的に取得された認証情報アプリケーションシステムのこの手段を使用しています。手順は、正しい結果を得るまで、および認証インターフェースにログインしようとする認証情報の大量の使用です。効率を向上させるために、自動化された操作用の辞書ツールを使用して、通常はブルートフォースを使用します。

理論的に、ほとんどのシステムは、その条件絶対的ではないブルート力の抜け穴が存在するかどうかを決定するシステムに限り、攻撃者は十分な時間及び計算能力を有するように、力づくことができるされています。私たちは、使用したり、弱い認証セキュリティポリシーを使用していない、暴力「可能性」の亀裂につながることは比較的高くなり、一般的にWebアプリケーションを指し、Webアプリケーションの脆弱性ブルートフォースがあると言います。：ここに含めて認定されたセキュリティポリシーは、です

2.各認証が動作をログに記録しようとする;. 3かどうか、OTP、セキュア認証コード（あなたは列車の切符の確認コードを買うとき〜失う考える）や携帯電話を使用しているかどうか、複雑なパスワードを設定するようにユーザーに要求するかどうかを1判断と制限（例：5回連続のエラーをログに記録するには、アカウントロックアウトまたはIPアドレスのロックアウトを実行する）; 4かの2要素認証を使用して、...というように。多くの場合、この攻撃の影響による過小評価しない野獣の脆弱性を、やっていることは、脆弱性のより良い理解に対応する期待！あなた缶「BurteForce」試験部よりもシンプルで、粗です。

1.1フォームベースのブルートフォース

最初のランダムな入力情報で

 

 げっぷは、単にユーザー名とパスワードを入力し、プロキシのFirefox、オープンげっぷに開くように設定パックをキャッチ

 

 

 審判のユーザ名はadminで、デジタルブルートフォース攻撃がデジタルにパスワードを推測することで、デジタルブラストを開始する（時間を節約するために、最初から6桁のパスワード）

 

 

 デジタルは、長さが観測された変化を爆破開始します

 

 

 見つかった長さの変化

 

 

 

 ログインショーの成功

 

 

1.2バイパス検証コード（サーバー上）

また、フィールド（サーバ上で）コードを開くバイパス、ユーザ名とパスワードの確認コード（ランダム入力）を入力し、げっぷスイートを有するデータパケットをフェッチします。

 

 

 发送到intruder,设置同上。但是要把验证码改回正确的验证码。这样就能绕过验证码来爆破用户名和密码。

开始爆破

 

 

 查看返回长度不一致的包

 

 

 

 

 得到用户名为admin 密码为123456 登录成功

 

 

1.3验证码绕过(on client)

步骤基本和前一样.因为验证码在客户端验证，所以抓包的时候输入的验证码必须是正确的。

 

 

 同上一个步骤，开始爆破

 

 

 

 

 

 

 找到异常 得到用户名 密码

 

 

 

 

 验证登录成功

 

1.4 token防爆破?

 打开pikachu网站选择token防爆破随便输入用户名密码点击登录，在burp suite抓取请求包如下

 

 

点击intruder模块中positions选择攻击类型为Pitchfork，设置password与token为变量。

 

 

 

选择options，Grep-Extract 打勾点击add，线程设置为1显然只有获取上一个请求返回的taken值才能，做下一次请求

并找到token的值

 

 记得选always

 

 进入payloads选项，选择参数

 

 

 

 

开始爆破

 

 发现异常，进入查看包 得到密码123456

 

 

web安全

实验报告

 

实验一

暴力破解

 

 

 

学生姓名	陈明镜
年级	2017级
区队	17网四
指导教师	高见

 

1. 暴力破解
Burte Force（暴力破解）概述

​ “暴力破解”是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。

​ 理论上来说，大多数系统都是可以被暴力破解的，只要攻击者有足够强大的计算能力和时间，所以断定一个系统是否存在暴力破解漏洞，其条件也不是绝对的。我们说一个web应用系统存在暴力破解漏洞，一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的“可能性”变的比较高。这里的认证安全策略, 包括：

​ 1.是否要求用户设置复杂的密码；2.是否每次认证都使用安全的验证码（想想你买火车票时输的验证码～）或者手机otp；3.是否对尝试登录的行为进行判断和限制（如：连续5次错误登录，进行账号锁定或IP地址锁定等）；4.是否采用了双因素认证；…等等。千万不要小看暴力破解漏洞,往往这种简单粗暴的攻击方式带来的效果是超出预期的! 你可以通过“BurteForce”对应的测试栏目，来进一步的了解该漏洞。

1.1 基于表单的暴力破解

刚开始随意输入信息

 

 打开Burp在Firefox上设置好代理，打开burp，随便输入一个用户名密码，抓到的包

 

 

 判断用户名为admin，采用数字暴力破解，猜测密码为数字，开始数字爆破（为节省时间，密码从六位数开始）

 

 

 开始数字爆破，观察length变化

 

 

 发现length变化

 

 

 

 登录显示成功

 

 

1.2 验证码绕过(on server)

同样打开验证码绕过(on server)栏，输入用户名密码和验证码(随意输入)，然后用burp suite抓取数据包。

 

 

 发送到intruder,设置同上。但是要把验证码改回正确的验证码。这样就能绕过验证码来爆破用户名和密码。

开始爆破

 

 

 查看返回长度不一致的包

 

 

 

 

 得到用户名为admin 密码为123456 登录成功

 

 

1.3验证码绕过(on client)

步骤基本和前一样.因为验证码在客户端验证，所以抓包的时候输入的验证码必须是正确的。

 

 

 同上一个步骤，开始爆破

 

 

 

 

 

 

 找到异常 得到用户名 密码

 

 

 

 

 验证登录成功

 

1.4 token防爆破?

 打开pikachu网站选择token防爆破随便输入用户名密码点击登录，在burp suite抓取请求包如下

 

 

点击intruder模块中positions选择攻击类型为Pitchfork，设置password与token为变量。

 

 

 

选择options，Grep-Extract 打勾点击add，线程设置为1显然只有获取上一个请求返回的taken值才能，做下一次请求

并找到token的值

 

 记得选always

 

 进入payloads选项，选择参数

 

 

 

 

开始爆破

 

 发现异常，进入查看包 得到密码123456