大家好！今天我們講暴力破解，有人可能會有疑惑，密碼到底設置得多複雜才算是安全，其實這就像是問，是先有的雞還是先有的蛋，都是沒有確切的答案的，理論上說無論你密碼設置的多麼複雜，都有可能被破解，這主要看的就是密碼字典的大小，我曾經見到過一個28G的密碼字典，如果再配合上暴力破解工具，我想密碼破解只是時間的問題吧。

因此今天我們不講如何設置密碼，我們就講講這些暴力破解工具的使用，以便我們理解暴力破解的原理，進而制定更加安全合理的防暴力破解的策略，下面我們言歸正傳。

Hydra

hydra（海德拉），是世界頂級的密碼破解工具，支持幾乎所有協議的在線密碼破解，功能十分強大，我前邊也說過了，暴力破解的成功與否，主要取決於字典的大小，擁有一個全面而強大的字典，對於暴力破解的成功有非常大的影響。

hydra

首先hydra是集成在kali裡邊的，我們打開虛擬機，運行kali，打開終端，在終端中輸入「hydra -h」回車，就可以查看hydra的幫助信息，如下圖所示：

hydra幫助

下面我們介紹幾個常用的參數：

「-l」表示login，後邊跟指定的用戶名，「-L」也是login，不過後邊跟的是文件，也就是用戶名的字典；

「-p」表示password，後邊跟指定的密碼，「-P」也是password，後邊跟文件，同上邊一樣，也就是密碼字典；

「-M」後邊跟目標文件，也就是保存了所有擬破解地址的文件；

「-o」表示將我們破解成功的用戶名和密碼等信息保存到指定文件裡邊。

我們再看看hydra給我們舉的幾個例子，如下圖所示：

hydra -l user -P password.txt ftp://192.168.0.1

表示破解指定用戶user的密碼，使用的服務為ftp，地址為：ftp://192.168.0.1。

hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN

表示破解使用密碼defaultpw的用戶，使用的郵箱服務，登錄地址為：imap://192.168.0.1/PLAIN。

hydra -l admin -p password ftp://[192.168.0.0/24]/

表示在192.168.0.0/24這個地址段內，破解使用用戶名為admin，密碼為password的ftp登錄地址。

hydra -L logins.txt -P password.txt -M targets.txt ssh

表示破解目標字典targets.txt文件裡邊的登錄密碼，其中用戶字典為logins.txt文件，密碼字典為password.txt文件，使用的服務為ssh。

medusa

Medusa（美杜莎），是一款速度快，支持大規模並行，模塊化的爆破登錄工具，可以同時對多個主機的用戶名密碼進行暴力破解，相比於hydra穩定性比較好，但是支持的模塊少一些。

medusa

我們也可以在kali終端輸入「medusa -h」來查看幫助信息，如下圖所示：

medusa幫助信息

「-h」後邊跟主機地址或者IP地址，「-H」跟主機或IP地址字典文件；

「-u」後跟指定用戶名，「-U」跟用戶名字典文件；

「-p」後跟指定密碼，「-P」跟密碼字典文件。

「-M」跟模塊名稱，例如：ssh等；

「-t」表示線程數。

舉個例子：

medusa -H targets.txt -U userlist.txt -P password.txt -M ssh

表示使用用戶字典userlist.txt和密碼字典password.txt破解主機字典里的主機ssh登錄的用戶名和密碼。

patator

也是一種集成在kali里的破解工具，不多說了，我們也可以輸入「patator -h」查看它的幫助信息，如下圖所示：

patator幫助信息

與上面兩款工具不同的是，它直接給出各個模塊的用法，例如：ftp、ssh、http、pop、imap、mssql和oracle等。

如果我們想看具體某個模塊的使用方法，我們可以輸入「patator ssh_login –help」來查看幫助信息，如下圖所示：

ssh_login幫助信息

他給了我們一個非常直觀的例子：

patator ssh_login host=10.0.0.1 user=root password=FILE0 0=password.txt

host後跟主機名，user後跟用戶名，password後跟密碼，當然也都可以跟字典文件，就比如「password=FILE0 0=password.txt」一樣，如果用戶名也是一個字典文件那麼就可以寫成「user=FILE1 1=userlist.txt」。

暴力破解的防禦

1.對於多餘用戶要及時刪除。

2.注意密碼的複雜性。大小寫字母+數字+特殊字符+8位以上+定期更換。

3.修改默認用戶和密碼。

4.使用驗證登錄。包括圖片驗證碼、短訊驗證碼等。

5.使用錯誤登錄次數限制設置。比如錯誤登錄3次，限值登錄10分鐘等。

6.其他限制。比如限制指定MAC地址或者IP地址的主機登錄。

以上就是Web滲透測試——密碼暴力破解工具的使用的全部內容，感謝大家的閱讀，大家學習到知識不要做違法的事情，我們的目的是提高大家的滲透測試技術，幫助大家更好地做好網絡安全防護，法律的底線一定不要碰，歡迎大家關注@科技興了解更多科技尤其是網路安全方面的資訊和知識。