[译]web认证攻击(一) -

j4s0nh4ck

浏览: 287986 次

最近访客更多访客>>

XiaoPY

zhanchaomao1987

vicen888

prontosil

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

[译]web认证攻击(一)

博客分类：

web
kali

原文：http://resources.infosecinstitute.com/authentication-hacking-pt1/
认证是识别某个事物的真伪。当一个web客户请求服务器的某个资源的时候，有时服务器可能需要识别用户的身份。因此用户必须体用一些口令以及web服务器来识别它，然后根据user的口令来采取相应的措施。这个过程叫做认证。一旦用户通过认证了，web服务器根据user相应的权限提供相应的资源。当用户希望获得某个资源时，服务器会检查用户是否有相应的权限。这个过程叫做授权。本文将会介绍常用的认证方法，然后介绍如何攻击这些认证方法。
本文主要使用burp suit以及少量的wireshark。
配置Burp为使用127.0.0.1:8080代理：

打开Burpsuite，转到Proxy–>Intercept，确保Intercept is on

转到option标签，检查代理是否监听8080端口。同时确保Generate CA-signed per-host certificates已经设置。每一次user连接到一个SSL保护的website，Buipsuit将会生产一个服务器证书，通过一个单独的在Burpsuit安装时生成的CA证书来签名。它的目的是在代理过程中减少SSL错误(Burp1.5,1.6没有此选项)。

认证种类
1）基于HTTP认证
基于HTTP的认证使用username+password来认证一个user。该过程是由user发送一个没有认证口令的GET请求来请求某一个资源开始的。请求有Burp拦截，看起来如下：

服务器然后在相应头发会“Authorization Required”消息。我们可以通过Wireshark来看到数据包。从header中可以看到，是“Basic”类型认证。浏览器识别出这个应答然后弹出一个请求username/password的对话框。注意对话框是由浏览器显示的而不是应用程序显示的。

一旦我们输入username和密码，并且使用Burp再次拦截请求，我们可以获得如下结果。最后一行是“Authorization: Basic aW5mb3NlYzppbmZvc2VjaW5zdGl0dXRl”。这是在header中传输的额外信息。Basic后面的是关键信息。他们基本是编码后的口令。用户名和密码使用：连接，并且整体使用base64编码。例如username是“infosec”，密码是“infosecinstitute”然后整体“infosec:infosecinstitute”使用base64编码。服务器获取header的值，解码来获得口令，如果口令正确，那么可以获得访问权限。值得注意的是解密编码后的口令是很常见的事，所以它对于监听攻击非常脆弱。

Wireshark可以识别这个，并且自动解码字符串来获得口令。如下图

从Credentials部分我们可以看到，用户名和密码分别是“infosec”和“infosecinstitute”。基于HTTP认证的一个问题是数据是明文传输的。可以通过SSL来减少风险，SSL使用加密格式来发送数据，所以授权header中的数据不透明。然而，它仍然可以受到很多客户端的攻击，包括MITM.它也可以收到暴力破解攻击。

2)HTTP摘要认证
摘要认证被设计为基于HTTP认证的一个改善。一个明显的增强是数据不再是明文传送，而是加密格式。user首先发送一个没有任何口令的请求到相应页面。服务器返回一个WWW-Authenticate header来指明需要口令来访问资源。服务器同时发送一个随机值，叫“nonce”。浏览器然后使用一个加密函数来创建一个基于username，password，“nonce”，HTTP methods，和页面的url的摘要。这种情况下的加密函数是一个单向加密函数，意味着数字摘要只可以在一个方向上创建，不可以逆向来获得创建它时的那些信息。默认的，摘要认证使用MD5算法。
摘要访问认证比HTTP基本认证不容易受监听攻击，但是容易遭受重放攻击，例如如果客户端可以重放加密信息，server将会允许客户的访问。然而为了避免这种攻击，服务器的nonce有时包含时间戳。一旦server获得nonce，它检查nonce的属性以及时间是否超时，可能会拒绝访问请求。摘要访问认证的另一个好处是攻击者需要知道其他的四个值(username, nonce, url, http method)来使用字典或暴力破解。这个过程相对于简单的暴力破解更昂贵而且不易成功。

3）基于表单认证
基于表单认证使用一个包含允许user数据username和password的input标签的表单来进行认证。一旦user提供了信息，它通过HTTP/HTTPS的GET或POST方法来传送信息。在服务器端，如果口令正确，user被认证，对于相应的请求，一些随机token或sessionid返回。对于基于表单认证的一个好处是没有标准的加密username/password方法，所以高度定制化，因而对于HTML基本攻击和摘要认证攻击成功的方法对它可能免疫。基于表单认证攻击是目前web程序中最常用的认证方法。一些基于表单认证的问题是口令是明文传送的除非使用TLS。
来看一个基于表单攻击的例子。我们使用DVWA作为例子.
安全级别设置为高。我们可以看到表单接受username/password，去掉任意格式的特殊字符来避免SQL注入攻击，然后通过一个sql查询语句来确认口令是否正确。

输入任何的username/password，使用Buip拦截：

攻击Web认证
我们将会使用暴力破解来攻击High安全级别的DVWA表单认证。注意暴力破解可能不会成功。某些情况下，网站会在若干次失败尝试之后会拒绝你的请求。同时一些网站会使用CAPTCHA来识别发送请求的是否是一个人类。
我们使用Burp中的intruder来进行暴力破解。通常需要username/password来进行暴力破解。在表单中输入username/password，然后拦截请求。截获请求后，右击鼠标选择“send to intruder”。

这样会把请求信息发送到intruder。转到intruder标签，现在需要配置Burp来进行暴力破解攻击。在target标签中，我们可以看到target已被设置。

现在转到position标签，这里我们可以看到之前我们发送intruder的请求。其中有一些东西被高亮，这些都是由Burp猜测的在每一个请求中可以变化从而用于暴力破解的部分。本例中只有username和password是可以变化的，我们只需进行相应的配置。

点击clear按键。将会删除所有高亮的文本，现在我们只需要配置username和password来进行攻击。高亮请求中的username(本例中是“infosec”)，然后点击Add。相似的，高亮password然后点击Add。这会使username和password变为第一/er个参数。此时输出应该如此。

然后我们需要设置攻击类型。默认设置为Sniper，然而在本例中我们将使用Cluster Bomb。Cluster Bomb的基本原理是使用多个payload组合(1 for username and 1 for the password)。攻击将会先使用payload1的所有值以及payload2的第一个值，然后使用payload1的所有值和payload2的第二个值。如下所示，我们的攻击类型是“Cluster Bomb”。