11 款用於滲透測試的蠻力攻擊工具

已發表: 2021-05-20

對於您公司的 IT 系統,您需要一份具體的證據來證明您的在線業務能夠抵禦各種類型的網絡攻擊,尤其是暴力攻擊。

什麼是暴力攻擊?

蠻力攻擊是最危險的網絡攻擊之一,您可能無法應對! 蠻力攻擊的目標是您網站的核心或您設備的安全性、登錄密碼或加密密鑰。 它使用連續試錯法來果斷地探索它們。

蠻力攻擊的方式多種多樣,主要有:

  • 混合暴力攻擊:嘗試或提交數以千計的預期和字典單詞,甚至隨機單詞。
  • 反向蠻力攻擊:嘗試使用詳盡的研究來獲取密碼的派生密鑰。

為什麼我們需要滲透測試工具?

蠻力攻擊者使用各種工具來實現這一目標。 您可以使用這些蠻力攻擊工具本身進行滲透。 這種測試也稱為“滲透測試”或“滲透測試”。

滲透測試是嘗試使用與黑客相同的方式入侵您自己的 IT 系統的實踐。 這使您能夠識別任何安全漏洞。

注意:以下工具可能會生成許多您應該僅針對您的應用程序環境執行的請求。

霸王龍

Gobuster 是最強大、最快速的暴力破解工具之一,不需要運行時。 它使用了 Go 語言編寫的目錄掃描器; 它比解釋性腳本更快、更靈活。

特徵

  • Gobuster 也因其對並發的驚人支持而聞名,這使其能夠處理多個任務和擴展,並保持其處理速度。
  • 一個沒有 Java GUI 的輕量級工具只能在許多平台的命令行上工作。
  • 內置幫助

模式

  • dir – 經典目錄模式
  • dns – DNS 子域模式
  • s3 – 枚舉打開的 S3 存儲桶並查找存在和存儲桶列表
  • vhost – 虛擬主機模式

然而,它存在一個缺陷,即遞歸目錄搜索能力差,降低了其對多級目錄的有效性。

BruteX

BruteX 是一款出色的多合一基於 shell 的強力破解工具,並且是一款開源工具,可滿足您實現目標的所有需求。

  • 開放端口
  • 用戶名
  • 密碼

利用以系統方式提交大量可能密碼的能力。

它包括從其他一些工具(如 Nmap、Hydra 和 DNS 枚舉)收集的許多服務。 這使您能夠掃描開放端口,啟動暴力FTP、SSH,並自動確定目標服務器的運行服務。

目錄搜索

Dirsearch 是一種基於命令行的高級暴力破解工具。 它是一個又名網絡路徑掃描器,可以暴力破解網絡服務器中的目錄和文件。

Dirsearch 最近成為 Kali Linux 官方軟件包的一部分,但它也可以在 Windows、Linux 和 macOS 上運行。 它是用 Python 編寫的,可以輕鬆地與現有項目和腳本兼容。

它也比傳統的 DIRB 工具快得多,並且包含更多功能。

  • 代理支持
  • 多線程
  • 用戶代理隨機化
  • 支持多個擴展
  • 掃描儀競技場
  • 請求延遲

對於遞歸掃描,Dirsearch 是贏家。 它正在返回並爬行,尋找任何其他目錄。 除了速度和簡單性之外,它還來自適合每個滲透測試者的最好的 Brute-force 房間。

卡洛

Callow 是一個用戶友好且可定制的登錄暴力破解工具。 用python 3編寫。它旨在滿足新手的需求和情況。

提供了靈活的用戶實驗,便於錯誤處理,尤其是初學者容易理解和直觀。

單邊帶

Secure Shell Bruteforcer (SSB) 是用於暴力破解 SSH 服務器的最快和最簡單的工具之一。

與破解 SSH 服務器密碼的其他工具不同,使用 SSB 的安全外殼可為您提供合適的界面。

九頭蛇

Hydra 是在 Linux 或 Windows/Cygwin 上使用的最著名的登錄破解工具之一。 此外,對於 Solaris、FreeBSD/OpenBSD、QNX (Blackberry 10) 和 macOS。 它支持許多協議,例如 AFP、HTTP-FORM-GET、HTTP-GET、HTTP-FORM-POST、HTTP-HEAD、HTTP-PROXY 等。

Hydra 默認安裝在 Kali Linux 上,設計有命令行和圖形版本。 它可以通過暴力破解方法破解單個或一組用戶名/密碼。

此外,它是並行化的,是一種非常快速和靈活的工具,使您能夠遠程阻止未經授權的系統訪問。

其他一些登錄黑客工具用於相同的功能,但只有 Hydra 支持許多不同的協議和並行連接。

打嗝套房

Burp Suite Professional 是 Web 安全測試人員必不可少的工具包,它具有快速可靠的功能。 而且,它可以自動化單調的測試任務。 此外,它是由專家的手動和半自動安全測試功能設計的。 許多專家使用它來測試 OWASP 的十大漏洞。

Burp 提供了許多獨特的功能,從增加掃描覆蓋範圍到自定義到暗模式。 它可以測試/掃描功能豐富的現代 Web 應用程序、JavaScript、測試 API。

它是一種真正為測試服務而設計的工具,而不是用於黑客攻擊,例如許多其他工具。 因此,它會記錄複雜的身份驗證序列並為最終用戶直接使用和共享編寫報告。

它還具有進行帶外應用程序安全測試 (OAST) 的優勢,該測試可觸及許多其他人無法發現的不可見漏洞。 此外,它是第一個受益於 PortSwigger Research 的公司,它使您走在了前沿。

帕托

Patator 是一種強力工具,可在模塊化設計中實現多用途和靈活使用。 它出現在使用其他一些工具和密碼獲取攻擊腳本的條件反射中。 Patator 選擇了一種新方法來避免重複舊錯誤。

Patator 是用 Python 編寫的,是一個多線程工具,它希望以比祖先更靈活、更可信的方式為滲透測試服務。 它支持許多模塊,包括以下模塊。

  • FTP
  • SSH
  • MySQL
  • 郵件發送
  • 遠程登錄
  • 域名系統
  • 中小企業
  • IMAP
  • LDAP
  • 登錄
  • 壓縮文件
  • Java 密鑰庫文件

pydictor

Pydictor 是另一種強大的字典黑客工具。 當涉及到長密碼強度測試時,它會讓新手和專業人士都感到驚訝。 這是攻擊者無法在其軍械庫中分發的工具。 此外,它具有豐富的功能,使您在任何測試情況下都能享受真正強大的性能。

  • 永久助手:使您能夠創建通用詞表、社會工程詞表、使用網絡內容的特殊詞表等。此外,它還包含一個過濾器來幫助您聚焦詞表。
  • 高度自定義:您可以根據需要使用按長度過濾、leet 模式等功能自定義詞表屬性。
  • 靈活性和兼容性:能夠解析配置文件,在Windows、Linux或Mac上都能流暢運行。

Pydictor 詞典

  • 數字詞典
  • 字母詞典
  • 大寫字母字典
  • 數字加上大寫字母
  • 大寫加上小寫字母
  • 數字加上小寫字母
  • 組合大寫、小寫和數字
  • 添加靜態頭
  • 操作字典複雜度過濾器

裂紋

Ncrack是一種高速性能的網絡破解工具。 它專為公司設計,可幫助他們測試網絡設備的弱密碼。 許多安全專家建議使用 Ncrack 來審計系統網絡的安全性。 它作為獨立工具或作為 Kali Linux 的一部分發布。

通過模塊化方法和動態引擎,使用命令行設計的 Ncrack 可以根據網絡反饋調整其行為。 並且可以同時對多台主機進行可靠的廣泛審計。

Ncrack 的特點不僅限於靈活的界面,而是為用戶安全地完全控製網絡操作。 這可以實現驚人的複雜暴力攻擊、運行時交互和時序模板,以方便使用,例如 Nmap。

支持的協議包括 SSH、RDP、FTP、Telnet、HTTP(S)、WordPress、POP3(S)、IMAP、CVS、SMB、VNC、SIP、Redis、PostgreSQL、MQTT、MySQL、MSSQL、MongoDB、Cassandra、WinRM、 OWA 和 DICOM,使其適用於廣泛的行業。

哈希貓

Hashcat 是一個密碼恢復工具。 它可以在 Linux、OS X 和 Windows 上運行,並支持許多支持 hashcat 的 Hashcat 算法,例如 MD4、MD5、SHA 系列、LM 哈希和 Unix Crypt 格式。

Hashcat 之所以廣為人知,是因為它的優化部分取決於 Hashcat 的創建者發現的軟件。

Hashcat 有兩種變體:

  • 基於CPU的密碼恢復工具
  • 基於 GPU 的密碼恢復工具

與 CPU 工具(MD5、SHA1 等)相比,GPU 工具可以在更短的時間內破解一些 hashcat-legacy。 但並非所有算法都能被 GPU 更快地破解。 然而,Hashcat 被描述為世界上最快的密碼破解程序。

結論

在這個詳細的展示之後,你有各種各樣的工具可以替換。 針對您面臨的每種情況和情況,選擇最適合您的方式。 沒有理由相信替代品沒有多樣性。 在某些情況下,最簡單的工具是最好的,而在其他情況下,則相反。

接下來,探索一些取證調查工具。