0x01简介
实验所属系列:网络安全事件
相关课程及专业:网络安全、密码学
预备知识
撞库简介
用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,再到最近被推上风口浪尖的12306用户信息泄露事件,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。
对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。
为了大家更好的了解撞库是怎么回事,我们以京东之前的撞库为例,首先京东的数据库并没有泄漏。黑客只不过通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,一旦丢失,后果可想而知。所以说,防止撞库,是一场需要用户一同参与的持久战。
实验分析
假设现在我们已经通过某种手段拿到了某网站的数据库,账号密码分别对应的分成了两个txt文件。现在我们猜测拿到的数据库里可能有漏洞主机上的网站注册用户,为了验证此想法,接着分别挂载账号密码字典,开始暴破攻击。
实验目的
了解撞库的原理、攻击方法和过程以及如何加强个人各种网络密码的安全设置。
实验环境
漏洞主机:Windows 2003+IIS+ASP,IP:10.1.1.151
(说明:本次实验只用到一个Burp Suite工具和两个txt文件,都在桌面)
0x02实验步骤
实验步骤一
打开网站,一看到这种登录页面,连验证码都没有,猜测安全做的应该不是太到位,先尝试一下有没有弱口令,在测试几轮之后,不存在弱口令。
实验步骤二
想到刚好拿到某个大型社交网络的数据库,由于此网站影响比较广泛,便想到撞库,由此可以来试一下。
现在有两个要注意的地方,一是数据库是.sql文件,邮箱、账号、密码、手机号和身份证等信息全部在一个文件里,如何提取出我们想要的用户名密码;二是要用什么工具来跑数据库?
针对第一个问题,要自己写一个批处理脚本,分别把账号和密码提取到两个文件中
我选择用Burp Suite来跑提取出来的账号密码文件。
下面开始使用Burp Suite
桌面上有一个BurpLoader的图标快捷方式,直接双击即可运行该软件,打开主界面如下:
点击proxy选项卡,再点击options选项,如下图即可设置代理
每个浏览器设置代理的方法略有差别,下面我以IE浏览器说明。先打开工具,再打开Internet,然后是连接,局域网设置,代理设置即可。
设置好浏览器代理后输入用户名密码登录,抓到包如下:
鼠标单击右键发送到intruder,切换到intruder选项卡,点击positions,选择爆破方式为Pitchfork,以及设置user_name和password为变量。
点击payload选项卡,set设置第一个和第二个要加载字典,点击load加载字典,一定要账号密码一一对应,不然跑不出来。字典就是桌面上的name.txt和pass.txt。
开始攻击
实验步骤三
这里会自动跳到另一个页面,爆破的结果也会显示出来。一直等它跑完,直接按照数据长度便可看出爆破的结果。
跑完用户名密码字典后,找出爆破成功的,看来跑出不少。拿一个爆破成功的去登录测试一下。
