网安系列【8】之暴力破解入门

引用资料

• Burp Suite

一 什么是暴力破解？

• 暴力破解（Brute Force Attack）是一种通过系统性地尝试所有可能的组合来破解密码或加密密钥的攻击方法。就像忘记了一个三位数密码锁的密码，然后从000开始一直试到999一样，暴力破解就是这种方法的数字化版本。

暴力破解的基本特点：

• 穷举性：尝试所有可能的组合
• 简单直接：不依赖复杂算法，纯粹靠尝试
• 资源密集型：可能需要大量时间和计算资源

密码空间是指所有可能密码的集合。例如：

• 4位纯数字密码：0000-9999，共10^4=10,000种可能
• 6位小写字母密码：aaaaaa-zzzzzz，共26^6≈3亿种可能
• 8位混合密码（大小写字母+数字+特殊字符）：约7.2×10^15种可能

二 暴力破解的工作原理

• 暴力破解的核心逻辑可以用以下伪代码表示：

for 每次尝试 in 所有可能组合:if 尝试 == 真实密码:返回"破解成功"else:继续尝试下一个组合

三 暴力破解的类型

3.1 传统暴力破解

• 尝试所有可能的字符组合，从最短长度开始逐步增加。

案例：破解一个已知为4位数字的PIN码

• 从0000开始，依次尝试0001,0002…直到9999
• 平均需要尝试5000次（最多10000次）

3.2 字典攻击

使用常见密码列表（字典）而不是随机尝试，效率更高。

常用字典：

• 常见密码：123456, password, qwerty等

• 泄露的密码库

• 根据目标个人信息生成的密码（如生日+名字）

• 案例：使用RockYou字典（包含1400万真实泄露密码）攻击社交媒体账户

3.3 混合攻击

结合字典和暴力破解，例如在字典单词后添加数字。
模式举例：

• password123
• welcome2023
• summer!

3.4 彩虹表攻击

使用预先计算的哈希值表来反向查找密码，主要用于破解哈希过的密码。

四 暴力破解实战演示

4.1 环境和工具

• 目标靶场：DVWA
• 攻击方式：字典攻击
• 爆破工具：Burp Suite

4.2 破解操作

1. 准备字典文件：user.txt和password.txt，内容分别如下：

   admin
   root
   user
   test
   zhangsan
   lisi
   

   admin
   password
   root
   user
   test
   zhangsan
   lisi
   123456
   

2. 将DVWA靶场的安全水平设置为low。
3. 安装Burp Suite，然后打开内置浏览器，使用内置浏览器访问，自建或官方的DVWA靶场，进行登录和暴力破解测试的登录操作，在Burp Suite中查看暴力破击的请求，即下图中的第14条记录，右键并将其转发到Intruder。
   
4. 选择适合的模式，将用户名和密码设置payload，并导入之前设置的user和password字典文件，进行暴力破解。
   
5. 最终在admin和password的组合下成功登录。
   

五 防御暴力破解的策略

1. 强密码策略

• 最小长度要求（至少12字符）
• 要求混合字符类型
• 避免常见模式和字典单词
  好密码示例：CorrectHorseBatteryStaple（由四个随机单词组成）

2. 账户锁定机制

• 连续5次失败尝试后锁定账户15分钟
• 或增加尝试间的延迟

3. 多因素认证(MFA)

• 即使密码被破解，仍需第二因素（如手机验证码）

4. 密码哈希加盐

• 使用bcrypt、Argon2等现代哈希算法，防止彩虹表攻击

5. 监控和警报
   检测异常登录模式和大量失败尝试

六 暴力破解的相关法律

重要提示：

• 未经授权的系统破解是违法行为
• 仅在自己拥有或获得明确许可的系统上进行测试
• 道德黑客应遵循"负责任的披露"原则

七 延伸学习

• John the Ripper：多功能密码破解工具
• Hashcat：支持GPU加速的快速破解工具
• Burp Suite：用于Web应用测试

总结

• 暴力破解作为最基本的密码攻击方法，其原理简单但影响深远。理解暴力破解不仅有助于设计更安全的系统，也是网络安全学习的重要基础。记住，强大的安全来自多层防御，而不仅仅是依赖密码强度。作为初学者，应该在合法合规的前提下学习和实践这些技术。