0×00 前言

一次測(cè)試的過(guò)程總會(huì)涉及到”密碼”與”加解密”。在踩點(diǎn)的過(guò)程中，對(duì)弱口令的嘗試是必不可少的過(guò)程，從xx抓雞到內(nèi)網(wǎng)哈希批量傳遞，從個(gè)人PC到網(wǎng)絡(luò)設(shè)備/工控設(shè)施，只要依舊采用單因素模式的密碼認(rèn)證，密碼掃描就不會(huì)被遺忘。以下筆者簡(jiǎn)單分享總結(jié)安全測(cè)試中密碼掃描與破解的技巧，如有疏漏錯(cuò)誤，還望不吝賜教。

0×01 整理一份優(yōu)秀的字典

想破解密碼,要求我們已經(jīng)”擁有”別人的密碼。字典在口令掃描嘗試過(guò)程中的重要性不言而喻.要整理一份優(yōu)秀的字典，不妨參考各大網(wǎng)站泄漏數(shù)據(jù)庫(kù)，將密碼(明文)字段收集后，依出現(xiàn)頻率先后生成字典。

一個(gè)demo腳本:

#!/bin/bash/python  
import sys  
from collections import Counter  
file = open(sys.argv[1], 'r')  
readlist = []  
count_times = []  
for line in file.readlines():  
line = line.strip('\r\n ')  
readlist.append(line)  
sortlist = Counter(readlist).most_common()  
for line in sortlist:  
print line[0] 

0×02 一手稱(chēng)心如意的工具集

欲善其事，須利其器。在密碼枚舉工具中嗎，筆者比較推薦的工具List如下:

Hydra :在線各種服務(wù)賬戶(hù)密碼猜解
Medusa : 類(lèi)似Hydra
Patator : Python多協(xié)議破解工具
John the ripper : 離線破解哈希
Hashcat : GPU離線哈希破解
Burp Suite : 在線密碼枚舉
Rcracki : 離線彩虹表哈希破解
Ophcrack : 離線LMHash/NTHash破解
Hashid/HashTag : 哈希算法分析
Fcrackzip/Truecrack等特定文件密碼破解工具
Metasploit : 各種輔助測(cè)試腳本
Cupp.py : 社工字典生成
…

當(dāng)然,根據(jù)特定需要(如加入各種偽裝繞過(guò)檢測(cè)),可能也需要我們自行編寫(xiě)相應(yīng)腳本實(shí)現(xiàn)枚舉賬戶(hù)的過(guò)程.

0×03 繞過(guò)檢測(cè)

Web層有WAF,Service有IDS/IPS,很容易打草驚蛇.在測(cè)試前,先通過(guò)掃描等方式判斷是否有相應(yīng)的防護(hù),并采取相應(yīng)手段.Web層可能有驗(yàn)證碼,可能有每秒IP連接數(shù)限制,可能通過(guò)Cookie/Header等信息判斷行為是Human or Robot.在通過(guò)一系列測(cè)試后,(如何測(cè)試還是要自己探索的),采用最合理的針對(duì)方式繞過(guò)或盡量避免被檢測(cè)而導(dǎo)致的阻擋枚舉賬戶(hù)密碼的腳步.

0×04 Web賬戶(hù)枚舉

Web賬戶(hù)枚舉是平日遇到較多的情況

EXP無(wú)果,某處又沒(méi)有做嚴(yán)謹(jǐn)?shù)尿?yàn)證碼等防護(hù),為枚舉賬戶(hù)密碼制造了可能性.
發(fā)現(xiàn)前人留下的backdoor,苦于沒(méi)有密碼.
撞庫(kù)掃號(hào).

常見(jiàn)的繞過(guò)驗(yàn)證的可能:

頁(yè)面無(wú)需刷新驗(yàn)證碼無(wú)限次使用
密碼輸入錯(cuò)誤數(shù)次彈出驗(yàn)證碼，但更換賬號(hào)不會(huì)出現(xiàn)驗(yàn)證碼
修改Cookie或UA偽裝逃避驗(yàn)證碼
可批量輪詢(xún)使用代理枚舉繞過(guò)

在Web枚舉中,使用BurpSuite基本可以解決所有常見(jiàn)問(wèn)題.工具相關(guān)文檔資料也比較豐富.

開(kāi)啟代理,打開(kāi)Intercept,登陸網(wǎng)頁(yè),輸入用戶(hù)密碼,數(shù)據(jù)包攔截下來(lái),選擇Send to Intruder,進(jìn)入攻擊模塊.

其中

其中四種模式:

Sniper: 只有一個(gè)payload,會(huì)將payload分別放在每個(gè)Fuzz點(diǎn)測(cè)試,默認(rèn)選項(xiàng),這也是新手發(fā)現(xiàn)Payload只能選擇1的原因.
Battering Ram: 只有一個(gè)payload,會(huì)將payload同時(shí)放在多個(gè)Fuzz點(diǎn)測(cè)試.
Pitchfork: 多個(gè)payload,會(huì)將多個(gè)payload同一行同時(shí)放到相應(yīng)Fuzz點(diǎn)測(cè)試.(適用掃號(hào))
Cluster Bomb: 多個(gè)payload,payload在其Fuzz點(diǎn)循環(huán)測(cè)試,直到嘗試所有可能.(適用多賬戶(hù)枚舉密碼)

參考鏈接: http://www.digininja.org/blog/burp_intruder_types.php

選擇好相應(yīng)模式后,設(shè)置payload為runtime file,掛載字典文件.取消Payload Encoding.

如果發(fā)現(xiàn)網(wǎng)頁(yè)有將用戶(hù)的本地將密碼計(jì)算MD5后提交,則需要在Payload Processing中添加計(jì)算MD5的過(guò)程

設(shè)置設(shè)置好后也可添加正則匹配結(jié)果等等.之后可以Start attack了.

這個(gè)過(guò)程中,如果擔(dān)心IP地址暴露,可以選擇寫(xiě)一個(gè)這樣一個(gè)腳本:

腳本本地監(jiān)聽(tīng)某端口,并為每次枚舉隨機(jī)抽取代理IP,Burp中設(shè)置Proxy為本地腳本所監(jiān)聽(tīng)端口即可.

0×05 HTTP基礎(chǔ)認(rèn)證

家用路由/Jboss等往往采用HTTP基礎(chǔ)認(rèn)證,認(rèn)證過(guò)程中,用戶(hù)名密碼加密.若無(wú)正確的用戶(hù)名密碼則會(huì)返回

HTTP/1.1 401 Authorization Required

抓包可以看到,以默認(rèn)用戶(hù)名admin,默認(rèn)密碼admin登陸路由,HTTP Header多的部分像是這樣

Authorization: Basic YWRtaW46YWRtaW4=

Base64解密即為admin:admin.針對(duì)基礎(chǔ)認(rèn)證密碼破解,依舊可以使用,但需要對(duì)用戶(hù)名密碼先做處理,一個(gè)demo腳本如下:

#!/usr/bin/python  
import os.path,sys,base64  
userfile = raw_input("input usr file:")  
passfile = raw_input("input pwd file:")  
outputfile = raw_input("input out file:")  
outputfile = open(outputfile, "w")  
userInfile = open(userfile)  
passInfile = open(passfile)  
userLines = userInfile.readlines()  
passLines = passInfile.readlines()  
for userLine in userLines:  
for passLine in passLines:  
combinedLine = userLine.strip() + ':' + passLine.strip()  
print combinedLine  
outputfile.write(base64.b64encode(combinedLine) + '\n')  
userInfile.close()  
passInfile.close()  
outputfile.close() 

生成字典后以Burp爆破即可

當(dāng)然,Hydra給了更簡(jiǎn)易的解決方式

hydra -L user.txt -P pass.txt -F http://demourl:2048/auth

其中-L和-P大寫(xiě)均為掛載字典,-F表示全局一旦發(fā)現(xiàn)合法用戶(hù)密碼即停止破解,亦可加入-t參數(shù)指定線程數(shù).

0×06 服務(wù)密碼破解

密碼枚舉離不開(kāi)服務(wù),對(duì)常見(jiàn)服務(wù)如FTP/SSH/TELNET/POP3/1433等的破解枚舉,資料已經(jīng)很齊備,以下僅簡(jiǎn)要記錄命令

FTP

hydra -L user.txt -P pass.txt -F ftp://127.0.0.1:21

SSH

hydra -L user.txt -P pass.txt -F ssh://127.0.0.1:22

patator ssh_login host=127.0.0.1 user=
root password=FILE0 0=pass.txt -x ignore:mesg='Authentication failed.'

SMB

hydra -L user.txt -P pass.txt -F smb://127.0.0.1

MSSQL

hydra -L user.txt -P pass.txt -F mssql://127.0.0.1:1433

0×07 社工字典生成

密碼碰撞出來(lái)的情況,大多為兩種可能:以admin為代表的弱口令和以*19??0101為代表的社工密碼.在弱口令嘗試失敗的情況下,如果對(duì)目標(biāo)信息有較充分的

掌握,則可嘗試社工字典生成. 以cupp.py工具為例,創(chuàng)建新字典使用:

python cupp.py -i

在填寫(xiě)相關(guān)信息后生成字典,然后使用上述工具繼續(xù)枚舉吧 ;-)

0×08 哈希破解

win環(huán)境下wce等工具直接抓取內(nèi)存密碼,抓取hash后離線破解往往也是難以避免的,尤其是在微軟最近幾個(gè)漏洞補(bǔ)丁之后:( 普通哈?？梢允褂肙phcrack破解,官網(wǎng)給出了對(duì)應(yīng)的彩虹表下載,當(dāng)然,也可以直接查詢(xún). http://www.objectif-securite.ch/en/ophcrack.php

如情非得已,需要破解其他不常見(jiàn)密碼哈希(借助已有web破解服務(wù)無(wú)法解決),暫時(shí)便只有三個(gè)相對(duì)高效的方法:

分布式 (如今已經(jīng)有越來(lái)越多的工具開(kāi)始嘗試分布式破解,也可說(shuō)是,云計(jì)算?)

GPU (或DSP/FPGA搞的專(zhuān)業(yè)密碼破解硬件)

彩虹表 (沒(méi)硬盤(pán)的就別想了)

而如果我們?cè)诿艽a的一定規(guī)則后,亦可按照規(guī)則破解密碼. 如創(chuàng)建一個(gè)密碼為hahaharoot的賬戶(hù),用John暴力模式密碼,普通計(jì)算機(jī)一天時(shí)間是很難跑出來(lái)的,但假設(shè)發(fā)現(xiàn)管理員其他密碼如web/sql等均為hahaha開(kāi)頭,則可考慮定義密碼規(guī)則,如

hashcat -m1800 -a3 hashdumpedfile --pw-min=7 --pw-max=11 "hahaha?l?l?l?l"

幾秒鐘的時(shí)間,得到了密碼明文

其中-m指定哈希算法,-a3指定暴力破解方式.亦可通過(guò)腳本生成指定前綴的密碼字典使用工具掛載字典加以破解

john -w:gen_wordlist.txt hash

0×09 文件密碼

最后補(bǔ)充一點(diǎn)對(duì)文件密碼的破解,對(duì)于zip文件,由于加密方式?jīng)]有rar強(qiáng)勢(shì),故被解密的可能性很大,一個(gè)kali下的破解工具命令如下:

fcrackzip -b -v -c a -l 1-4 -u 1.zip

其中,-b指定暴力破解,-v顯示詳細(xì)信息,-c a指定密碼為純字母,-l 1-4指定密碼長(zhǎng)度位1-4位,-u指使用可能的密碼進(jìn)行解壓縮測(cè)試(加上,否則會(huì)出現(xiàn)很多干擾密碼)

關(guān)于其他文件密碼的破解,各位看官如有高效的工具,還望拿出來(lái)分享之. ;)