Web攻防之暴力破解技术详解<\/h1>

0x00 序言<\/h2>
暴力破解是Web安全测试中的基础技术，通过系统性地尝试各种可能的凭证组合来绕过认证机制。本文全面梳理了暴力破解在Web安全领域的应用场景、技术方法和防御措施。<\/p>

0x01 账户探测技术<\/h2>

账户存在性探测<\/h3>

第一梯队探测目标<\/strong>：<\/p>

Top500常用用户名<\/li>
手机号（11位数字组合）<\/li> <\/ul>
第二梯队探测目标<\/strong>：<\/p>

邮箱地址（常见邮箱服务商后缀）<\/li>
员工编号（企业特定编号规则）<\/li> <\/ul>
0x02 指定口令爆破用户名<\/h2>
基础爆破方法<\/h3>

常规字典爆破<\/strong>：<\/p>

Top500、Top10000常用用户名列表<\/li>
字母组合：1-4位随机字母组合

工具推荐：pydictor<\/code><\/li> <\/ul> python pydictor.py -base L --len 2<\/span> 3<\/span> <\/span><\/span><\/code><\/pre><\/li> 数字组合：1-4位数字组合 for<\/span> n in<\/span> xrange(10000<\/span>): <\/span><\/span> print str(n).<\/span>zfill(4<\/span>) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 厂商特色账户爆破<\/strong>：<\/p> 公司名相关账户（如：facebook、fb_steven）<\/li> 从页面联系邮箱提取命名规则<\/li> <\/ul> <\/li> <\/ol> 0x03 密码爆破技术<\/h2> 密码字典构建<\/h3> 基础弱口令字典<\/strong>：<\/p> Top500、Top3000、Top10000常用密码<\/li> 自定义密码字典工具：pydictor<\/code><\/li> 社工库历史密码查询<\/li> <\/ul> <\/li> 厂商特色密码生成<\/strong>：<\/p> 公司名+特殊字符（如baidu@123）<\/li> 行业特定密码模式<\/li> <\/ul> <\/li> <\/ol> 加密密码破解<\/h3> 基础编码破解<\/strong>：<\/p> Base64等常见编码方式<\/li> <\/ul> <\/li> 自定义加密算法破解<\/strong>：<\/p> RSA算法加密口令爆破（参考浮萍的RSADemo.py）<\/li> Selenium模拟浏览器提交（处理不明加密算法）技术细节参考：http:\/\/sm0nk.com\/2017\/11\/27\/基于Seleninum的口令爆破应用\/<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 特定场景爆破<\/h3> 后台密码爆破<\/strong>：<\/p> 中间件默认凭证（Weblogic、Tomcat等）<\/li> CMS默认管理密码<\/li> <\/ul> <\/li> Webshell密码爆破<\/strong>：<\/p> 弱文件发现的Webshell<\/li> 专用爆破工具或Burp Suite<\/li> <\/ul> <\/li> <\/ol> 辅助信息收集<\/h3> Web源码、JS及注释中的凭证线索<\/li> 物理环境信息（如运维便签）<\/li> <\/ul> 0x04 验证码爆破技术<\/h2> 验证码绕过技术<\/h3> 逻辑绕过<\/strong>：<\/p> 验证码参数可省略<\/li> 验证码可重复使用<\/li> 验证码答案有限可遍历<\/li> 非空校验绕过（置空或删除参数）<\/li> <\/ul> <\/li> 验证码识别<\/strong>：<\/p> 简单验证码识别工具<\/li> 高模糊度验证码处理流程：二值化 → 去干扰 → 区域选择 → OCR识别<\/li> <\/ul> <\/li> 云打码平台利用<\/li> <\/ul> <\/li> <\/ol> 0x05 短信\/邮箱验证码爆破<\/h2> 验证码绕过技术<\/h3> 返回包分析<\/strong>：<\/p> 响应中包含验证码<\/li> Cookie中泄露验证码<\/li> True\/False或0\/1状态控制<\/li> <\/ul> <\/li> 验证码爆破<\/strong>：<\/p> 4位数字快速爆破<\/li> 6位数字分段爆破（0-199999、200000-399999等）<\/li> 高概率区间优先爆破<\/li> <\/ul> <\/li> 弱Token利用<\/strong>：<\/p> 时间戳MD5加密的Token（如360漏洞案例）<\/li> 密码找回功能的参数遍历<\/li> <\/ul> <\/li> <\/ol> 0x06 数据信息爆破(遍历)<\/h2> 关键参数遍历<\/h3> 用户名、ID号、手机号<\/li> 邮箱、身份证号、订单号<\/li> 银行卡、信用卡信息 PAN+到期时间<\/li> PAN+到期时间+CVV<\/li> 完整信用卡信息组合<\/li> <\/ul> <\/li> <\/ul> 批量注册漏洞<\/h3> 校验不严格的批量注册<\/li> "薅羊毛"攻击场景<\/li> <\/ul> 组合攻击策略<\/h3> 密码找回功能分析<\/strong>：<\/p> 账号检测功能泄露用户存在性<\/li> 手机号与用户名关联泄露<\/li> <\/ul> <\/li> 论坛信息收集<\/strong>：<\/p> Discuz等论坛的用户数据<\/li> 用户名、联系方式、兴趣偏好<\/li> <\/ul> <\/li> 数据关联分析<\/strong>：<\/p> 手机号→用户名→论坛ID→用户偏好<\/li> 精准用户画像构建<\/li> <\/ul> <\/li> <\/ol> 0x07 爆破关联技术<\/h2> 数据重放攻击<\/h3> 短信炸弹<\/strong>：<\/p> 无限制短信轰炸<\/li> 间隔符绕过（18888888888,,,）<\/li> 多号码轮询攻击<\/li> <\/ul> <\/li> 邮箱炸弹<\/strong>：<\/p> 原理同短信炸弹<\/li> 成本更低廉<\/li> <\/ul> <\/li> <\/ol> 系统信息爆破<\/h3> 子域名爆破<\/strong>：<\/p> 工具推荐：subDomainsBrute、Layer、FuzzDomain<\/li> <\/ul> <\/li> 目录\/文件爆破<\/strong>：<\/p> 工具对比：老御剑、weakfilescan、dirfuzz、cansian.py<\/li> 推荐工具：dirsearch（Python3开发） python3 dirsearch.py -u <URL> -e <EXTENSIONS> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> Fuzzing测试<\/strong>：<\/p> SQL注入、XSS测试<\/li> 特殊字符异常处理测试<\/li> <\/ul> <\/li> <\/ol> 0x08 协议口令爆破<\/h2> 常见服务爆破<\/h3> 基础协议爆破<\/strong>：<\/p> SSH、RDP、FTP<\/li> MySQL、MSSQL<\/li> 工具推荐： Fenghuangscan<\/li> Hydra（Kali自带）<\/li> Nmap脚本引擎<\/li> <\/ul> <\/li> <\/ul> <\/li> 邮件\/VPN爆破<\/strong>：<\/p> SMTP协议爆破（brut3k1t工具）<\/li> VPN协议爆破<\/li> 技巧：同密码多用户轮询绕过限制<\/li> <\/ul> <\/li> <\/ol> 未授权访问漏洞<\/h3> Redis未授权访问<\/li> Jenkins未授权访问<\/li> MongoDB未授权访问<\/li> ZooKeeper未授权访问<\/li> Elasticsearch未授权访问<\/li> Memcache未授权访问<\/li> Hadoop未授权访问<\/li> CouchDB未授权访问<\/li> Docker未授权访问<\/li> <\/ul> 0x09 防御措施<\/h2> 登录界面防护<\/h3> 阈值限制<\/strong>：<\/p> 单位时间请求次数限制<\/li> 账号\/IP封禁机制<\/li> <\/ul> <\/li> 验证码增强<\/strong>：<\/p> 错误次数触发验证码<\/li> 验证码复杂度要求<\/li> <\/ul> <\/li> 系统健壮性<\/strong>：<\/p> 强制密码复杂度策略<\/li> 定期弱口令扫描<\/li> <\/ul> <\/li> <\/ol> 验证码加固技术<\/h3> 视觉干扰技术<\/strong>：<\/p> 字体扭曲、粘连、镂空<\/li> 混用多种字体<\/li> 干扰线、背景干扰<\/li> <\/ul> <\/li> 逻辑验证码<\/strong>：<\/p> 数学公式验证<\/li> 逻辑问题验证<\/li> <\/ul> <\/li> <\/ol> WAF防护<\/h3> Modsecurity规则配置<\/li> 商业WAF解决方案<\/li> <\/ul> 验证码重用防护<\/h3> 一次性验证码机制<\/li> 时效性严格控制<\/li> <\/ul> 主机级防护<\/h3> 认证加固<\/strong>：<\/p> 高复杂度口令策略<\/li> 私钥替代口令认证<\/li> <\/ul> <\/li> 访问控制<\/strong>：<\/p> 非必要服务端口关闭<\/li> IP白名单限制<\/li> <\/ul> <\/li> 管理规范<\/strong>：<\/p> 禁止明文密码记录<\/li> 运维密码安全管理<\/li> <\/ul> <\/li> <\/ol>

Web攻防之暴力破解技术详解<\/h1>

0x00 序言<\/h2> 暴力破解是Web安全测试中的基础技术，通过系统性地尝试各种可能的凭证组合来绕过认证机制。本文全面梳理了暴力破解在Web安全领域的应用场景、技术方法和防御措施。<\/p>

0x01 账户探测技术<\/h2>

0x02 指定口令爆破用户名<\/h2>

0x03 密码爆破技术<\/h2>

0x04 验证码爆破技术<\/h2>

0x05 短信\/邮箱验证码爆破<\/h2>

0x06 数据信息爆破(遍历)<\/h2>

0x07 爆破关联技术<\/h2>

0x08 协议口令爆破<\/h2>

0x09 防御措施<\/h2>

0x00 序言<\/h2>
暴力破解是Web安全测试中的基础技术，通过系统性地尝试各种可能的凭证组合来绕过认证机制。本文全面梳理了暴力破解在Web安全领域的应用场景、技术方法和防御措施。<\/p>