brute force

1. Brute Force Attack

- 무차별 대입공격

- 공격자가 계정의 암호 값에 입력할 수 있는 모든 값을 대입하여 암호를 해독하는 공격

 

1) 환경

- ubuntu 16.04 desktop 운영체제의 php로 만들어진 웹서버

 

- kali linux 2018.1 운영체제의 공격자 클라이언트

- 공격자 클라이언트에 설치된 Burp Suite[proxy server기능, 값 변조를 위해] 프로그램을 사용

- 서버와 클라이언트 간의 오고가는 패킷을 확인하기 위해 firefox 프록시기능 on

 

2) 시연

[1] 클라이언트에서 웹 서버 접속 후 프록시 잡아서 내용 확인

 

[2] 우클릭 후 send to Intruder 를 클릭하여 공격할 서버 확인

 

[3] 공격타입에서 원하는 것을 선택 후 입력정보에 해당하는 username, password를 체크 후 오른쪽에 add 클릭

 

[4] 페이로드에서 개수와 단일리스트 확인 후 brute force attack을 하기 위한 정보를 적는다. (txt파일로 첨부 가능)

 

[5] 이제 기본설정은 끝났으며 공격 후 반응을 확인하기위해 로그인이 되지 않으면 오류메세지가

로그인이 됬으면 접속메세지가 출력될 것이고 "Welcome" 이 접속메세지 이므로 add하여 추가한다

 

[6] 옵션에서 부여한 "Welcome"을 확인해보면 체크표시가 된 것이 맞는 username과 password를 의미한다.

매치옵션을 사용하지 않더라도 센스껏 무차별 대입공격을 할 때마다 출력되는 메세지의 length만 확인하여도 접속이 될 때는 실패랑 메세지 길이가 다르기 때문에 성공했다고 유추가 가능하다.

 

 

3) 대응방안

- 입력 횟수를 제한하는 방법 (은행의 ATM기기 및 공인인증서 등)

- 로그인 실패 시 일정기간 로그인을 금지하는 방법

- 접근 시마다 현재 시간으로 토큰 값을 제작하여 비교

 

4) 효율적인 무차별 대입공격

 [1] 휴리스틱을 이용(시간 단축)

  - 휴리스틱이란?

   이름이나 생일, 핸드폰번호, 기념일, 키, 몸무게 등 희생자가 사용할만한 정보를 유추하여 조합

 

 

주의사항 : 취약한 사이트의 경우 공격이 통할 수 있으니 실제로 사용하지 마십시오.