0×00 前言

一次測試的過程總會涉及到”密碼”與”加解密”。在踩點的過程中，對弱口令的嘗試是必不可少的過程，從xx抓雞到內(nèi)網(wǎng)哈希批量傳遞，從個人PC到網(wǎng)絡(luò)設(shè)備/工控設(shè)施，只要依舊采用單因素模式的密碼認(rèn)證，密碼掃描就不會被遺忘。以下筆者簡單分享總結(jié)安全測試中密碼掃描與破解的技巧，如有疏漏錯誤，還望不吝賜教。

0×01 整理一份優(yōu)秀的字典

想破解密碼,要求我們已經(jīng)”擁有”別人的密碼。字典在口令掃描嘗試過程中的重要性不言而喻.要整理一份優(yōu)秀的字典，不妨參考各大網(wǎng)站泄漏數(shù)據(jù)庫，將密碼(明文)字段收集后，依出現(xiàn)頻率先后生成字典。

一個demo腳本:

#!/bin/bash/python  
import sys  
from collections import Counter  
file = open(sys.argv[1], 'r')  
readlist = []  
count_times = []  
for line in file.readlines():  
line = line.strip('\r\n ')  
readlist.append(line)  
sortlist = Counter(readlist).most_common()  
for line in sortlist:  
print line[0] 

0×02 一手稱心如意的工具集

欲善其事，須利其器。在密碼枚舉工具中嗎，筆者比較推薦的工具List如下:

Hydra :在線各種服務(wù)賬戶密碼猜解
Medusa : 類似Hydra
Patator : Python多協(xié)議破解工具
John the ripper : 離線破解哈希
Hashcat : GPU離線哈希破解
Burp Suite : 在線密碼枚舉
Rcracki : 離線彩虹表哈希破解
Ophcrack : 離線LMHash/NTHash破解
Hashid/HashTag : 哈希算法分析
Fcrackzip/Truecrack等特定文件密碼破解工具
Metasploit : 各種輔助測試腳本
Cupp.py : 社工字典生成
…

當(dāng)然,根據(jù)特定需要(如加入各種偽裝繞過檢測),可能也需要我們自行編寫相應(yīng)腳本實現(xiàn)枚舉賬戶的過程.

0×03 繞過檢測

Web層有WAF,Service有IDS/IPS,很容易打草驚蛇.在測試前,先通過掃描等方式判斷是否有相應(yīng)的防護(hù),并采取相應(yīng)手段.Web層可能有驗證碼,可能有每秒IP連接數(shù)限制,可能通過Cookie/Header等信息判斷行為是Human or Robot.在通過一系列測試后,(如何測試還是要自己探索的),采用最合理的針對方式繞過或盡量避免被檢測而導(dǎo)致的阻擋枚舉賬戶密碼的腳步.

0×04 Web賬戶枚舉

Web賬戶枚舉是平日遇到較多的情況

EXP無果,某處又沒有做嚴(yán)謹(jǐn)?shù)尿炞C碼等防護(hù),為枚舉賬戶密碼制造了可能性.
發(fā)現(xiàn)前人留下的backdoor,苦于沒有密碼.
撞庫掃號.

常見的繞過驗證的可能:

頁面無需刷新驗證碼無限次使用
密碼輸入錯誤數(shù)次彈出驗證碼，但更換賬號不會出現(xiàn)驗證碼
修改Cookie或UA偽裝逃避驗證碼
可批量輪詢使用代理枚舉繞過

在Web枚舉中,使用BurpSuite基本可以解決所有常見問題.工具相關(guān)文檔資料也比較豐富.

開啟代理,打開Intercept,登陸網(wǎng)頁,輸入用戶密碼,數(shù)據(jù)包攔截下來,選擇Send to Intruder,進(jìn)入攻擊模塊.

其中

其中四種模式:

Sniper: 只有一個payload,會將payload分別放在每個Fuzz點測試,默認(rèn)選項,這也是新手發(fā)現(xiàn)Payload只能選擇1的原因.
Battering Ram: 只有一個payload,會將payload同時放在多個Fuzz點測試.
Pitchfork: 多個payload,會將多個payload同一行同時放到相應(yīng)Fuzz點測試.(適用掃號)
Cluster Bomb: 多個payload,payload在其Fuzz點循環(huán)測試,直到嘗試所有可能.(適用多賬戶枚舉密碼)

參考鏈接: http://www.digininja.org/blog/burp_intruder_types.php

選擇好相應(yīng)模式后,設(shè)置payload為runtime file,掛載字典文件.取消Payload Encoding.

如果發(fā)現(xiàn)網(wǎng)頁有將用戶的本地將密碼計算MD5后提交,則需要在Payload Processing中添加計算MD5的過程

設(shè)置設(shè)置好后也可添加正則匹配結(jié)果等等.之后可以Start attack了.

這個過程中,如果擔(dān)心IP地址暴露,可以選擇寫一個這樣一個腳本:

腳本本地監(jiān)聽某端口,并為每次枚舉隨機(jī)抽取代理IP,Burp中設(shè)置Proxy為本地腳本所監(jiān)聽端口即可.

0×05 HTTP基礎(chǔ)認(rèn)證

家用路由/Jboss等往往采用HTTP基礎(chǔ)認(rèn)證,認(rèn)證過程中,用戶名密碼加密.若無正確的用戶名密碼則會返回

HTTP/1.1 401 Authorization Required

抓包可以看到,以默認(rèn)用戶名admin,默認(rèn)密碼admin登陸路由,HTTP Header多的部分像是這樣

Authorization: Basic YWRtaW46YWRtaW4=

Base64解密即為admin:admin.針對基礎(chǔ)認(rèn)證密碼破解,依舊可以使用,但需要對用戶名密碼先做處理,一個demo腳本如下:

#!/usr/bin/python  
import os.path,sys,base64  
userfile = raw_input("input usr file:")  
passfile = raw_input("input pwd file:")  
outputfile = raw_input("input out file:")  
outputfile = open(outputfile, "w")  
userInfile = open(userfile)  
passInfile = open(passfile)  
userLines = userInfile.readlines()  
passLines = passInfile.readlines()  
for userLine in userLines:  
for passLine in passLines:  
combinedLine = userLine.strip() + ':' + passLine.strip()  
print combinedLine  
outputfile.write(base64.b64encode(combinedLine) + '\n')  
userInfile.close()  
passInfile.close()  
outputfile.close() 

生成字典后以Burp爆破即可

當(dāng)然,Hydra給了更簡易的解決方式

hydra -L user.txt -P pass.txt -F http://demourl:2048/auth

其中-L和-P大寫均為掛載字典,-F表示全局一旦發(fā)現(xiàn)合法用戶密碼即停止破解,亦可加入-t參數(shù)指定線程數(shù).

0×06 服務(wù)密碼破解

密碼枚舉離不開服務(wù),對常見服務(wù)如FTP/SSH/TELNET/POP3/1433等的破解枚舉,資料已經(jīng)很齊備,以下僅簡要記錄命令

FTP

hydra -L user.txt -P pass.txt -F ftp://127.0.0.1:21

SSH

hydra -L user.txt -P pass.txt -F ssh://127.0.0.1:22

patator ssh_login host=127.0.0.1 user=
root password=FILE0 0=pass.txt -x ignore:mesg='Authentication failed.'

SMB

hydra -L user.txt -P pass.txt -F smb://127.0.0.1

MSSQL

hydra -L user.txt -P pass.txt -F mssql://127.0.0.1:1433

0×07 社工字典生成

密碼碰撞出來的情況,大多為兩種可能:以admin為代表的弱口令和以*19??0101為代表的社工密碼.在弱口令嘗試失敗的情況下,如果對目標(biāo)信息有較充分的

掌握,則可嘗試社工字典生成. 以cupp.py工具為例,創(chuàng)建新字典使用:

python cupp.py -i

在填寫相關(guān)信息后生成字典,然后使用上述工具繼續(xù)枚舉吧 ;-)

0×08 哈希破解

win環(huán)境下wce等工具直接抓取內(nèi)存密碼,抓取hash后離線破解往往也是難以避免的,尤其是在微軟最近幾個漏洞補(bǔ)丁之后:( 普通哈希可以使用Ophcrack破解,官網(wǎng)給出了對應(yīng)的彩虹表下載,當(dāng)然,也可以直接查詢. http://www.objectif-securite.ch/en/ophcrack.php

如情非得已,需要破解其他不常見密碼哈希(借助已有web破解服務(wù)無法解決),暫時便只有三個相對高效的方法:

分布式 (如今已經(jīng)有越來越多的工具開始嘗試分布式破解,也可說是,云計算?)

GPU (或DSP/FPGA搞的專業(yè)密碼破解硬件)

彩虹表 (沒硬盤的就別想了)

而如果我們在密碼的一定規(guī)則后,亦可按照規(guī)則破解密碼. 如創(chuàng)建一個密碼為hahaharoot的賬戶,用John暴力模式密碼,普通計算機(jī)一天時間是很難跑出來的,但假設(shè)發(fā)現(xiàn)管理員其他密碼如web/sql等均為hahaha開頭,則可考慮定義密碼規(guī)則,如

hashcat -m1800 -a3 hashdumpedfile --pw-min=7 --pw-max=11 "hahaha?l?l?l?l"

幾秒鐘的時間,得到了密碼明文

其中-m指定哈希算法,-a3指定暴力破解方式.亦可通過腳本生成指定前綴的密碼字典使用工具掛載字典加以破解

john -w:gen_wordlist.txt hash

0×09 文件密碼

最后補(bǔ)充一點對文件密碼的破解,對于zip文件,由于加密方式?jīng)]有rar強(qiáng)勢,故被解密的可能性很大,一個kali下的破解工具命令如下:

fcrackzip -b -v -c a -l 1-4 -u 1.zip

其中,-b指定暴力破解,-v顯示詳細(xì)信息,-c a指定密碼為純字母,-l 1-4指定密碼長度位1-4位,-u指使用可能的密碼進(jìn)行解壓縮測試(加上,否則會出現(xiàn)很多干擾密碼)

關(guān)于其他文件密碼的破解,各位看官如有高效的工具,還望拿出來分享之. ;)