前言

暴力破解是一种密码攻击技术，攻击者通过枚举所有可能的组合来尝试找到正确的密码或密钥‌。这种方法不依赖于任何密码学弱点或漏洞，而是通过穷举的力量来破译密码。暴力破解的原理是通过逐个推算密码的组合，直到找到正确的密码。例如，对于一个四位数字密码，其可能的组合有10000种，因此最多尝试10000次就能找到正确的密码

一、基于表单的暴力破解

1.基于表单的破解：如下为登录框

随意输入抓包(不用拦截，开启代理找拦截记录)：发送到intruder模块，添加变量选择集束炸弹攻击

为了简单示范用户名爆破使用admin,root作字典，密码使用简单密码，点击攻击，快速定位返回内容：

如上即可实现简单爆破，结果如下：点击长度可以筛选出特别的，也即我们需要的

二、后端验证码绕过

输入正确的验证码抓包：将抓包的验证码改为当前页面的验证码(返回浏览器查看)

爆破：步骤和上面一样

三. 前端验证码绕过

随意输入测试：会有弹窗出现

输入正确的验证码并抓包：可以看到修改验证码后依然通过(不要相信任何前端的输入)

集束炸弹模式进行爆破：可以看到爆破出账号密码

四. token

随意输入抓包：发送到intruder模块，假设用户名以已知，密码和token添加变量，选择交叉攻击

在设置里找到提取并添加，点击确定即可

找到重定向，点击总是

在资源池设置最大请求为1，防止请求过多token还没用就被刷新

在设置里的攻击结果这，将生成未修改的基本请求取消勾选

重刷新一次浏览器，找到token

选择递归提取，密码字典我使用了一个弱口令字典，把刚找到的token输入进去：然后开始爆破

爆破成功：

到处结束

总结

此文章只是演示作用，使用的pikachu靶场
暴力破解危害‌

‌数据泄露‌：一旦密码被破解，攻击者可以获取系统内的敏感数据，包括用户信息、财务数据等。
‌身份盗用‌：攻击者可以使用被破解的账号进行身份盗用，进行恶意操作如‌财务欺诈、‌数据篡改等。
‌系统破坏‌：攻击者可以通过获取‌管理员权限，修改或删除系统文件，造成系统瘫痪。
‌‌服务中断‌：大量的暴力破解尝试会消耗系统资源，导致服务性能下降甚至中断。
‌‌信用损失‌：对于企业来说，数据泄露或系统被攻击不仅带来经济损失，还会导致客户信任度下降，影响公司声誉。

防范措施

‌强密码策略‌：使用高强度的用户名和密码组合，例如数字+大小写字母+标点的组合。
‌多因素认证‌：如‌IP白名单设置等。
‌‌帐户锁定机制‌：多次尝试后锁定账户。

玄机博客

1.本站内容仅供参考，不作为任何法律依据。用户在使用本站内容时，应自行判断其真实性、准确性和完整性，并承担相应风险。

2.本站部分内容来源于互联网，仅用于交流学习研究知识，若侵犯了您的合法权益，请及时邮件或站内私信与本站联系，我们将尽快予以处理。

3.本文采用知识共享署名4.0国际许可协议 [BY-NC-SA] 进行授权

4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理，通过安装、显示、传输或者存储软件等方式使用软件的，可以不经软件著作权人许可，不向其支付报酬。”您需知晓本站所有内容资源均来源于网络，仅供用户交流学习与研究使用，版权归属原版权方所有，版权争议与本站无关，用户本人下载后不能用作商业或非法用途，需在24个小时之内从您的电脑中彻底删除上述内容，否则后果均由用户承担责任；如果您访问和下载此文件，表示您同意只将此文件用于参考、学习而非其他用途，否则一切后果请您自行承担，如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。