BruteLoops:协议无关的在线密码安全检测API

时间:2022-06-01 14:06:08

BruteLoops:协议无关的在线密码安全检测API

关于BruteLoops

BruteLoops是一款功能强大且协议无关的在线密码安全检测API,广大研究人员可以使用BruteLoops来实现在线密码猜解,以检查用户所使用的密码是否安全,或识别密码中的安全问题。

BruteLoops针对身份验证接口提供了密码爆破猜解功能,代码库中提供了一个模块化的使用示例,并演示了如何使用BruteLoops来实现密码安全解析。它的功能非常齐全,并且提供了多个爆破模块,下面给出的是其功能示例:

  • http.accellion_ftp FTP HTTP接口登录加速模块
  • http.basic_digest 通用HTTP基本摘要验证
  • http.basic_ntlm 通用HTTP基本NTLM身份验证
  • http.global_protectWeb接口全局保护
  • http.mattermost Mattermost登录Web接口
  • http.netwrix Netwrix登录Web接口
  • http.okta Okta JSON API
  • http.owa2010 OWA 2010Web接口
  • http.owa2016 OWA 2016 Web接口
  • smb.smb 针对单个SMB服务器执行任务
  • testing.fake 用于培训/测试的模拟身份验证模块

关键功能

  • 协议无关
  • SQLite支持
  • 密码喷射和密码填充
  • 密码猜解计划任务
  • 细粒度可配置性以避免锁定事件
  • 任务暂停和继续
  • 多进程支持
  • 日志记录

工具依赖

BruteLoops工具要求Python 3.7或更高版本的Python环境,以及SQLAlchemy 1.3.0,后者可以通过pip工具以及该项目提供的requirements.txt来安装:

  1. python3.7 -m pip install -r requirements.txt 

工具安装

广大研究人员可以通过下列命令将该项目源码克隆至本地,并安装该工具所需的依赖组件:

  1. git clone https://github.com/arch4ngel/bruteloops 
  2.  
  3. cd bruteloops 
  4.  
  5. python3 -m pip install -r requirements.txt 

工具使用

在使用该工具时,我们可以按照以下步骤来对密码安全测试进行拆分:

  • 寻找一个需要测试的目标服务;
  • 如果py【1】中没有存在该目标,则需要构建一个回调;
  • 搜索某些用户名、密码和凭证信息;
  • 通过向py【2】输入认证数据来构建一个数据库;
  • 如果相关,则枚举或请求活动目录锁定策略来智能地配置安全测试过程;
  • 根据目标锁定策略执行密码安全测试【1】【3】【4】;

工具使用样例

(1) 通过example.py执行爆破猜解模块

命令:

  1. archangel@deskjet:bruteloops_dev~> ./example.py test.sqlite3 testing.fake --help 

输出:

  1. usage: example.py dbfile testing.fake [-h] --username USERNAME --password PASSWORD 
  2.  
  3.   
  4.  
  5. Fake authentication module for training/testing 
  6.  
  7.   
  8.  
  9. optional arguments: 
  10.  
  11.   -h, --help           show this help message and exit 
  12.  
  13.   --username USERNAME  required - str - Username to check against 
  14.  
  15.   --password PASSWORD  required - str - Password to check against 

(2) 通过dbmanager.py创建输入数据库

命令:

  1. archangel@deskjet:bruteloops_dev~> ./dbmanager.py --help 

输出:

  1. usage: dbmanager.py [-h] dbfile {dump-valid,dump-credentials,import-values,import-credentials,delete-values,delete-credentials} ... 
  2.  
  3.   
  4.  
  5. Manage BruteLoops input databases 
  6.  
  7.   
  8.  
  9. positional arguments: 
  10.  
  11.   dbfile                Database file to manipulate 
  12.  
  13.   {dump-valid,dump-credentials,import-values,import-credentials,delete-values,delete-credentials} 
  14.  
  15.                         SUBCOMMANDS: 
  16.  
  17.     dump-valid          Dump valid credentials from the database 
  18.  
  19.     dump-credentials    Dump all credential values from the database 
  20.  
  21.     import-values       Import values into the target database 
  22.  
  23.     import-credentials  Import credential pairs into the target database 
  24.  
  25.     delete-values       Delete values from the target database 
  26.  
  27.     delete-credentials  Delete credential pairs from the target database 
  28.  
  29.   
  30.  
  31. optional arguments: 
  32.  
  33.   -h, --help            show this help message and exit 

(3) 通过example.py执行模拟爆破猜解模块

命令:

  1. ./example.py test.sqlite3 \ 
  2.  
  3.   --parallel-guess-count 4  --auth-threshold 2 \ 
  4.  
  5.   --auth-jitter-min 1s --auth-jitter-max 5s \ 
  6.  
  7.   --threshold-jitter-min 10s --threshold-jitter-max 20s \ 
  8.  
  9.   -lf test.log \ 
  10.  
  11.   testing.fake --username administrator --password P@ssw0rd 

输出:

  1. archangel@deskjet:bruteloops_dev~> ./example.py test.sqlite3 -pgc 4 -at 2 -ajmin 1s -ajmax 5s -tjmin 10s -tjmax 20s -lf test.log testing.fake --username administrator --password P@ssw0rd 
  2.  
  3. 2020-12-08 15:22:50,077 - example.py - GENERAL - Initializing attack 
  4.  
  5. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Initializing 4 process 
  6.  
  7. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Logging attack configuration parameters 
  8.  
  9. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Config Parameter -- authentication_jitter: <Jitter(min="1s"max="5s")> 
  10.  
  11. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Config Parameter -- max_auth_jitter: <Jitter(min="10s"max="20s")> 
  12.  
  13. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Config Parameter -- max_auth_tries: 2 
  14.  
  15. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Config Parameter -- stop_on_valid: False 
  16.  
  17. 2020-12-08 15:22:50,078 - BruteForcer - GENERAL - Config Parameter -- db_file: test.sqlite3 
  18.  
  19. 2020-12-08 15:22:50,083 - BruteForcer - GENERAL - Beginning attack: 15:22:50 EST (20/12/08) 
  20.  
  21. 2020-12-08 15:22:51,572 - BruteForcer - INVALID - user1:pass1 
  22.  
  23. 2020-12-08 15:22:53,544 - BruteForcer - INVALID - admin:password 
  24.  
  25. 2020-12-08 15:22:54,597 - BruteForcer - INVALID - user1:password 
  26.  
  27. 2020-12-08 15:22:55,025 - BruteForcer - INVALID - admin:pass1 
  28.  
  29. 2020-12-08 15:22:55,247 - BruteForcer - INVALID - user2:pass1 
  30.  
  31. 2020-12-08 15:22:56,307 - BruteForcer - INVALID - user2:password 
  32.  
  33. 2020-12-08 15:22:59,025 - BruteForcer - INVALID - administrator:pass1 
  34.  
  35. 2020-12-08 15:22:59,680 - BruteForcer - INVALID - administrator:password 
  36.  
  37. 2020-12-08 15:23:07,384 - BruteForcer - INVALID - user1:welcome1 
  38.  
  39. 2020-12-08 15:23:07,955 - BruteForcer - INVALID - user1:P@ssw0rd 
  40.  
  41. 2020-12-08 15:23:08,775 - BruteForcer - INVALID - administrator:welcome1 
  42.  
  43. 2020-12-08 15:23:09,631 - BruteForcer - VALID - administrator:P@ssw0rd 
  44.  
  45. 2020-12-08 15:23:12,057 - BruteForcer - INVALID - user2:welcome1 
  46.  
  47. 2020-12-08 15:23:12,299 - BruteForcer - INVALID - admin:welcome1 
  48.  
  49. 2020-12-08 15:23:12,309 - BruteForcer - INVALID - user2:P@ssw0rd 
  50.  
  51. 2020-12-08 15:23:12,534 - BruteForcer - INVALID - admin:P@ssw0rd 
  52.  
  53. 2020-12-08 15:23:12,748 - BruteForcer - GENERAL - Attack finished 
  54.  
  55. 2020-12-08 15:23:12,748 - BruteForcer - GENERAL - Shutting attack down 
  56.  
  57. 2020-12-08 15:23:12,755 - BruteForcer - GENERAL - Closing/joining Processes 
  58.  
  59. 2020-12-08 15:23:12,758 - example.py - GENERAL - Attack complete 

项目地址

BruteLoops:【GitHub传送门

原文地址:https://www.freebuf.com/articles/database/305541.html