渗透测试技法之口令安全

一、口令安全威胁

1. 口令泄露途径

• • 代码与文件存储不当：在软件开发和系统维护过程中，开发者可能会将口令以明文形式存储在代码文件、配置文件或注释中。例如，在开源代码托管平台 GitHub 上，一些开发者由于疏忽，将包含数据库、服务器等重要系统口令的代码文件上传到公共仓库，导致口令泄露。此外，网站的配置文件、源代码注释以及备份文件中若包含口令，一旦这些文件被恶意获取，就会引发严重的安全问题。

• • 邮件传输风险：当用户通过电子邮件发送包含口令的信息时，如果邮件传输过程没有采用加密措施，就很容易被攻击者在网络传输过程中截获。例如，某公司员工通过未加密的邮件向同事发送服务器登录口令，结果被黑客截获，导致公司服务器被入侵，大量敏感数据泄露。

• • 浏览器保存隐患：现代浏览器通常提供保存账号和密码的功能，方便用户下次登录。然而，如果用户的设备被他人非法访问，或者浏览器存在安全漏洞，攻击者就可以轻松获取保存在浏览器中的口令。例如，某知名社交平台曾因用户浏览器保存的口令被窃取，导致大量用户账号被盗用，用户个人信息和隐私遭到严重侵犯。

1. 弱口令风险

• • 常见弱口令类型：常见的弱口令包括简单数字组合，如 “000000”“111111” 等；顺序字符组合，如 “abcdef”“abc123” 等；临近字符组合，如 “123qwe”“Qwerty” 等；特殊含义组合，如 “admin”“password” 等。这些弱口令容易被攻击者通过简单的猜测或暴力破解手段获取。

• • 弱口令产生原因：用户为了方便记忆，往往倾向于选择简单易记的口令，而忽视了口令的安全性。此外，部分用户对网络安全的重要性认识不足，缺乏安全意识，没有意识到使用弱口令可能带来的严重后果。

1. 默认口令隐患

• • 常见默认口令举例：许多软件组件在初始化配置时都设置了默认密码，如 phpStudy 中 mysql 的默认账号和密码为 “root:root”，Tomcat 管理控制台的默认账号和密码为 “tomcat:tomcat”。如果用户在安装和配置这些软件后没有及时修改默认口令，攻击者就可以利用这些已知的默认口令轻松登录系统，获取系统权限。

• • 默认口令的危害：默认口令的存在为攻击者提供了一个便捷的入侵途径。一旦攻击者利用默认口令成功登录系统，就可以对系统进行各种恶意操作，如窃取数据、篡改系统配置、植入恶意软件等，给用户和组织带来巨大的损失。

1. 明文传输问题

• • 明文传输协议介绍：一些早期的网络协议，如 ftp（文件传输协议）、telnet（远程登录协议）等，在传输数据时采用明文方式，包括用户的账号和密码。这意味着在网络传输过程中，攻击者可以通过网络嗅探工具轻松截获这些信息，获取用户的口令。

• • 明文传输的风险：由于明文传输的口令没有经过任何加密处理，一旦被攻击者截获，攻击者就可以直接使用这些口令登录系统，对系统的安全性构成严重威胁。

二、口令破解方式

1. 暴力破解

• • 破解原理：暴力破解是一种通过尝试所有可能的字符组合来猜测密码的方法。攻击者会使用专门的密码破解工具，按照一定的规则生成所有可能的密码组合，并逐一尝试登录目标系统。密码空间的大小取决于字符集合的大小和密码的位数。例如，如果密码只包含数字，且密码长度为 6 位，那么密码空间的大小就是 10^6 种可能的组合。

• • 优缺点分析：暴力破解的优点是理论上只要时间和计算资源足够，就能够破解任何密码。然而，其缺点也非常明显，暴力破解需要消耗大量的时间和计算资源，尤其是对于复杂的密码，破解所需的时间可能会非常长。

1. 字典破解

• • 破解原理：字典破解是一种基于字典文件的密码破解方法。攻击者会收集大量常见的密码组合，如生日、姓名、常用单词等，组成一个字典文件。然后，使用密码破解工具从字典文件中读取密码组合，并逐一尝试登录目标系统。字典破解的密码空间是暴力破解密码空间的一个子集，因此其破解速度通常比暴力破解快。

• • 优缺点分析：字典破解的优点是破解速度快，能够在较短的时间内尝试大量常见的密码组合。然而，其缺点是如果目标密码不在字典文件中，字典破解就无法成功。

1. 远程密码破解

• • 常用工具介绍：常用的远程密码破解工具包括 NTScan、Hydra、Medusa 等。这些工具可以对多种远程服务的口令进行破解，如 SSH（安全外壳协议）、FTP、RDP（远程桌面协议）等。

• • 使用方法示例：以 Hydra 为例，使用 Hydra 对 SSH 服务进行口令破解的命令格式为：hydra -l username -P password.txt target_ip ssh。其中，“-l” 参数指定用户名，“-P” 参数指定密码字典文件，“target_ip” 指定目标服务器的 IP 地址，“ssh” 指定要破解的服务类型。

1. 网站后台爆破

• • 常用工具介绍：常用的网站后台爆破工具包括 Burp Suite 的 Intruder 模块、wpscan 等。这些工具可以对网站后台登录页面的用户名和密码进行枚举，尝试破解登录口令。

• • 处理验证码问题：如果网站后台登录页面存在验证码，爆破过程会变得更加复杂。攻击者需要考虑能否识别验证码、是否可以通过自动化工具绕过验证码验证，以及验证码是否会回显到客户端等问题。一些攻击者可能会使用 OCR（光学字符识别）技术来识别验证码，或者通过分析验证码的生成机制来绕过验证码验证。

三、口令安全测试方法

1. 未加密情况暴力破解

• • 使用 Burp Suite 抓包：打开 Burp Suite 代理，配置浏览器使用 Burp Suite 代理。在浏览器中访问目标网站的登录页面，输入用户名和密码进行登录操作。Burp Suite 会拦截登录请求，将请求数据包发送到 Intruder 模块。

• • 标记爆破参数：在 Intruder 模块中，选择要爆破的参数，如用户名和密码字段，标记为 Payload 位置。

• • 加载 payloads 字典：选择一个包含大量常见密码组合的字典文件，加载到 Intruder 模块的 Payloads 选项卡中。

• • 开始测试：点击 Intruder 模块的 “Start attack” 按钮，开始进行口令爆破测试。Burp Suite 会自动从字典文件中读取密码组合，替换标记的 Payload 位置，发送请求，并根据返回包的长度和内容来判断爆破是否成功。

1. 加密情况破解方法

• • 使用模拟浏览器工具：对于前端采用 js 加密的情况，可以使用一些模拟浏览器工具，如https://github.com/gubeihc/blasting。这些工具可以模拟浏览器的运行环境，调用 js 代码对账号和密码进行加密处理，然后发送请求。

• • 操作步骤示例：首先，下载并安装模拟浏览器工具。然后，配置工具的相关参数，如目标网站的 URL、用户名和密码字段的选择器等。最后，加载密码字典，启动工具开始进行爆破测试。

• • 处理验证码问题：如果存在验证码，需要根据验证码的类型和特点，采用相应的处理方法。例如，如果验证码是图片验证码，可以使用 OCR 技术进行识别；如果验证码是动态验证码，可以尝试分析验证码的生成机制，通过自动化工具绕过验证码验证。

四、口令安全防护措施

1. 技术方面

• • 多因素认证：采用多因素认证方式，如密码加验证码、密码加指纹识别、密码加短信验证码等。多因素认证可以大大提高账号的安全性，即使攻击者获取了用户的密码，也无法通过其他认证因素登录账号。

• • 密码复杂度要求：设置密码复杂度要求，要求用户设置的密码包含大小写字母、数字、特殊字符，且长度足够。例如，要求密码长度不少于 8 位，包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符。

• • 定期更换密码：定期要求用户更换密码，如每 90 天更换一次。定期更换密码可以降低密码被破解的风险，即使密码被攻击者获取，也只能在有限的时间内使用。

• • 登录失败处理策略：设置登录失败处理策略，如多次登录失败后锁定账号。例如，设置连续 5 次登录失败后锁定账号 30 分钟，防止攻击者通过暴力破解手段获取密码。

1. 管理方面

• • 制定口令管理制度：制定严格的口令管理制度，明确口令的复杂度、更换周期、存储方式等要求。同时，加强对口令管理制度的执行和监督，确保制度得到有效落实。

• • 加强安全意识教育：加强员工的安全意识教育，提高员工对口令安全重要性的认识，避免使用弱口令和泄露口令。可以通过组织安全培训、发放安全宣传资料等方式，提高员工的安全意识和防范能力。