最新暴力破解漏洞技术详解

点击星标，即时接收最新推文

本文选自《web安全攻防渗透测试实战指南（第2版）》

点击图片五折购书

暴力破解漏洞简介

暴力破解漏洞的产生是由于服务器端没有做限制，导致攻击者可以通过暴力的手段破解所需信息，如用户名、密码、短信验证码等。暴力破解的关键在于字典的大小及字典是否具有针对性，如登录时，需要输入4位数字的短信验证码，那么暴力破解的范围就是0000~9999。

暴力破解漏洞攻击

暴力破解漏洞攻击的测试地址在本书第2章。

一般情况下，系统中都存在管理账号——admin。下面尝试破解admin的密码：首先，在用户名处输入账号admin，接着随便输入一个密码，使用Burp Suite抓包，在Intruder中选中密码，导入密码字典并开始爆破，如图4-1所示。

图4-1

可以看到，有一个数据包的Length值跟其他的都不一样，这个数据包中的Payload就是爆破成功的密码，如图4-2所示。

图4-2

暴力破解漏洞代码分析

服务器端处理用户登录的代码如下所示。程序获取POST参数“username”和参数“password”，然后在数据库中查询输入的用户名和密码是否存在，如果存在，则登录成功。但是这里没有对登录失败的次数做限制，所以只要用户一直尝试登录，就可以进行暴力破解。


$con=mysqli_connect("localhost","root","123456","test");
// 检测连接
if (mysqli_connect_errno())
{
echo "连接失败: " . mysqli_connect_error();
}
$username = $_POST['username'];
$password = $_POST['password'];
$result = mysqli_query($con,"select * from users where `username`='".addslashes($username)."' and `password`='".md5($password)."'");
$row = mysqli_fetch_array($result);
if ($row) {
exit("login success");
}else{
exit("login failed");
}
?>

由于上述代码没对登录失败次数做限制，所以可以进行暴力破解。在现实场景中，会限制登录失败次数。例如，如果登录失败6次，账号就会被锁定，那么这时攻击者可以采用的攻击方式是使用同一个密码对多个账户进行破解，如将密码设置为123456，然后对多个账户进行破解。

验证码识别

在图像识别领域，很多厂家都提供了API接口用于批量识别（多数需要付费），常用的技术有OCR和机器学习。

1．OCR

OCR（Optical Character Recognition，光学字符识别），是指使用设备扫描图片上的字符，然后将字符转换为文本，例如识别身份证上的信息等。Python中有多个OCR识别的模块，例如pytesseract。但是OCR只能用于简单的验证码识别，对干扰多、扭曲度高的验证码识别效果不佳。

图4-3所示为使用最简单的语句识别验证码。