暴力破解也被称为枚举测试、穷举法测试，是一种针对密码破译的方法，即:将密码逐个比较，直到找出真正的密码为止。

C/S架构破解

SQL Server

Hydra目前支持的破解服务有: FTP、 MSSQL、MYSQL、POP3、 SSH等。通过Nmap扫描主机，可以发现主机192.168.1.110开放了1433 端口，一~般SQL Server数据库端口即为1433。进一步可以通过Namp-A参数确定服务器到底是否运行SQLServer服务

(1)破解MySQL密码

      hydra.exe -L c:\user.txt -P c:\pass.txt 192.168.1.110 mysql

使用-L指定用户名文件，_P 指定密码文件。

      (2)破解FTP密码

      Hydra.exe -l admin -Pc: \pass.txt -t 5 192.168.1.110 ftp

使用-1指定用户名，-t 指定线程。

      (3)破解ssh

      hydra.exe -I users.txt -P password.txt-e n -t 5 -vV 192.168.1.110ssh

使用“-e n” 对空密码探测。

(4)破解rdp

      hydra.exe -1 administrator -P c:\pass.txt www.xxser.com rdp -V

破解www.xxser.com的rdp服务，即远程桌面协议。

(5)破解pop3

      hydra.exe -1 root -P pass. txt my.pop3 .mail pop3未指定文件路径时，Hydra 将会在本目录下查找文件。

攻击者一旦得到数据库密码，一 般会做两件事情，一是“拖库"，二是“提权”。如果提权成功，就相当于有了这台计算机的root权限，可以说“想做什么就做什么”。

MySQL

Madusa

关键特性

基于线程的并行测试，可同时对多台主机进行测试。

模块化设计，每个服务模块作为一个独立的mod文件存在。

可以灵活地输入目标主机信息和测试指标。

-d查看可利用模块

-M模块-q显示指定模块帮助信息

基本语法为:“Medusa主机名用户名密码-M模块”

①破解smbnt。

      medusa -h www. secbug.org -u administrator -P /pass.txt -e ns -M smbnt

      使用“-h”参数对主机www.secbug.org破解smbnt服务，并使用“-e ns” 参数，尝试空密码及账号为密码。

      ②破解MSSQL。

      medusa -h 192.168.1.110 -u sa -P /pass. txt -t 5 -f -M mssql

      使用“-t”参数指定线程，“-f”指定在任何主机上找到了第1个账号/密码后，停止审计。

③使用“_C”参数破解smbnt。

      medusa -M smbnt -C combo. txt

      使用“_C”参数破解smbnt, combo 文件的格式如下:

      192.168.0.20:administrator :password192.168.0.20: testuser:pass

      192. 168.0.30:administrator :blah192.168.0.40:user1 : foopass

④破解SSH。

      medusa -M ssh -H host.txt -U users.txt -P password使用“_U”参数读取用户名字典文件users.txt。

      ⑤日志信息。

      medusa -h 192.168.1.110 -u sa -P /pass.txt -t 5 -f -e ns -M mssq1 -0 /ap. txt将成功的信息记录到“/ap.txt” 文件中，记录格式如下:# Medusa v.2.0 (2013-07-12 05:31:40)

      # medusa -h 192.168.1.110 -u sa -P /pass.txt -t 5一f -e ns -M mssql -0 /ap. txtACCOUNT FOUND:  [mssql] Host: 192. 168.1.110 User: sa Password: pwd0123 [SUCCESS]# Medusa has finished (2013-07-12 05:32:01) .

B/S架构破解

burpsuite

攻击者在破解表单之前，一般会先寻找一个标志位，也就是登录成功与失败的区别点

第一步:获取设置循环变量。

使用账户为“admin”、 密码为"admin” 登录，并将其载入到Burp Suite Intruder 模块，在POST请求中，我们看到了“pwd= admin”。顾名思义，这是密码参数，然后在“admin”的位置设置变量&pwd=8admin8。

第二步:设置Payload.

      设置好变量信息之后，开始设置密码字典，选择“PayLoad” 选项卡，在“Payload set”→“Payload type”下拉框中选择“Simple list",意为简单列表，然后在“Payload Option”区域单击“Add”按钮载入字典。

第三步:设置标识位。

      选择“Option”→“Grep - Match”设置标识位，单击“Clear”按钮将列表框中的关键字清空，接着在输入框中输入“rememberme",然后单击“Add”按钮添加关键字。在下面的“Matchtype”匹配类型中提供了两种匹配方式，一种是简单的字符串匹配，另一种 是正则表达式匹配，这里选择“Simplestring”简单字符串匹配即可。

      最后，单击“Flag result items with responses matching where expression”选择框，然后选择“Intruder”→“Start attack”开始暴力猜解。

第四步:寻找破解后的密码。

攻击者将“rememberme"字符串作为标识位，这表示如果破解失败,标识位肯定是存在的，如果破解成功，标志位是没有的。如果字典较大，条目就会很多，很难快速寻找成功的条目，这里可以用到Burp Suite的排序功能，单击标识位列头，即可排序，排序后就可以很快寻找到破解成功的条目。在排序后可以看到密码为“pwd@123” 的条目并没有被标识，返回文本长度不同，而且HTTP状态码也与其他条目不一-样，这样就基本确定“pwd@123”就是管理员的密码。

这种方法不仅可以破解WordPress账户信息，也同样适用于任何没有采取防护措施的Web应用程序。

像WordPress这类开源且使用用户居多的系统，很多安全研究者早已写好了特定的暴力破解程序，在测试时，直接使用即可，如: WpScan。

暴力破解应用

1.攻击OA系统

在破解OA系统时，要考虑破解速度的问题。OA系统往往与数据库、FTP、RDP、CMS这类不一-样,很多时候，OA没有内置“ROOT.SA、Administrator. admin"这类默认用户，即使存在，也只能猜测出一两个默认用户， 所以这时搜集用户名就成了重点。

在搜集用户名的时候，一般会采用以下两种手段。

(1)通过邮箱搜集

通过Google hack使用搜索引擎查找

(2)通过错误提示搜集

通过不同的错误提示消息，攻击者可以针对系统先暴力破解用户名，再暴力破解密码。

搜集完用户名之后，攻击者就可以对密码进行暴力破解了，攻击者的密码字典一般都会采取100~300个数量的高命中率弱口令，如果在这些弱口令密码中破解不成功，那么密码就可能较复杂，破解的效率就会大大降低。

2.破解验证码

暴力破解验证码经常出现在密码找回、修改密码、交易支付等操作。

防止暴力破解

1.密码的复杂性

2.验证码措施

从渗透测试的角度来说，验证码还有另一种破解方式: 客户端使用<img>标签访问验证码生成函数或类，然后验证码函数生成字符串，保存在SESSION中，并且生成图片文件发送给前台的<img>标签显示，用户看到验证码并输入验证码提交之后，用户输入的验证码将会与SESSION中的字符串相比较，如果验证结果相等，证明是正确的验证码，否则是错误的。

      有些程序员在对比验证码之后，没有刷新SESSION,而是返回到客户端之后，由<img>标;签发起访问再次生成验证码，这样就导致了客户端如果不解析<img>标签，验证码就不会发生改变，从而使验证码“无效”，这样就可以轻松绕过验证码。

3.登录日志(限制登录次数)