暴力破解漏洞—Hack之路

暴力破解漏洞

介绍暴力破解漏洞

暴力破解的产生是由于服务器没有做限制,导致攻击者可以通过暴力的手段破解所需信息,如用户名,密码,验证码等。暴力破解需要一个庞大的字典,如4位数字的验证码,那么暴力破解的范围就是0000-9999,暴力破解的关键在于字典的大小。

暴力破解漏洞攻击

暴力破解攻击地址为http://192.168.0.106/vulnerabilities/brute/  ,一般情况下,系统中都存在管理员账号:admin,下面我们就尝试破解admin的密码,首先用户名处输入账号admin,接着随便输入一个密码,使用Buwp Suite抓包,在Infrader中选中密码处爆破,导入密码字典开始爆破,可以看到,有一个数据包的length值和其他值都不一样,这个数据包中的Payload就是爆破成功的密码

1.拦截到数据包右键选择Intruder模块,也就是爆破密码模块
暴力破解漏洞---Hack之路
2.将拦截数据的多余赋值进行clear只对密码进行爆破
暴力破解漏洞---Hack之路
3.点开Payloads进行add密码或进行导入爆破密码,点击start attack进行攻击
暴力破解漏洞---Hack之路

这就是爆破成功的密码啦
暴力破解漏洞---Hack之路

暴力破解漏洞的修复建议

  • 如果用户登陆次数超过设置的阈值,则锁定账号
  • 如果某个IP登陆次数超过设置的阈值,则锁定IP

锁定IP存在的一个问题是:如果多个用户使用的是同一个IP,则会造成其他用户也不能登陆

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/09/29/%e6%9a%b4%e5%8a%9b%e7%a0%b4%e8%a7%a3%e6%bc%8f%e6%b4%9e-hack%e4%b9%8b%e8%b7%af/

发表评论

邮箱地址不会被公开。 必填项已用*标注