首页 安全产品 正文
我要投稿

BruteLoops:协议无关的在线密码安全检测API

安全产品
2025-05-26 0 74
也想出现在这里?点击联系我~

BruteLoops:协议无关的在线密码安全检测API

关于BruteLoops

BruteLoops是一款功能强大且协议无关的在线密码安全检测API,广大研究人员可以使用BruteLoops来实现在线密码猜解,以检查用户所使用的密码是否安全,或识别密码中的安全问题。

BruteLoops针对身份验证接口提供了密码爆破猜解功能,代码库中提供了一个模块化的使用示例,并演示了如何使用BruteLoops来实现密码安全解析。它的功能非常齐全,并且提供了多个爆破模块,下面给出的是其功能示例:

  • http.accellion_ftp FTP HTTP接口登录加速模块
  • http.basic_digest 通用HTTP基本摘要验证
  • http.basic_ntlm 通用HTTP基本NTLM身份验证
  • http.global_protectWeb接口全局保护
  • http.mattermost Mattermost登录Web接口
  • http.netwrix Netwrix登录Web接口
  • http.okta Okta JSON API
  • http.owa2010 OWA 2010Web接口
  • http.owa2016 OWA 2016 Web接口
  • smb.smb 针对单个SMB服务器执行任务
  • testing.fake 用于培训/测试的模拟身份验证模块

关键功能

  • 协议无关
  • SQLite支持
  • 密码喷射和密码填充
  • 密码猜解计划任务
  • 细粒度可配置性以避免锁定事件
  • 任务暂停和继续
  • 多进程支持
  • 日志记录

工具依赖

BruteLoops工具要求Python 3.7或更高版本的Python环境,以及SQLAlchemy 1.3.0,后者可以通过pip工具以及该项目提供的requirements.txt来安装:

  1. python3.7-mpipinstall-rrequirements.txt

工具安装

广大研究人员可以通过下列命令将该项目源码克隆至本地,并安装该工具所需的依赖组件:

  1. gitclonehttps://github.com/arch4ngel/bruteloops
  3. cdbruteloops
  5. python3-mpipinstall-rrequirements.txt

工具使用

在使用该工具时,我们可以按照以下步骤来对密码安全测试进行拆分:

  • 寻找一个需要测试的目标服务;
  • 如果py【1】中没有存在该目标,则需要构建一个回调;
  • 搜索某些用户名、密码和凭证信息;
  • 通过向py【2】输入认证数据来构建一个数据库;
  • 如果相关,则枚举或请求活动目录锁定策略来智能地配置安全测试过程;
  • 根据目标锁定策略执行密码安全测试【1】【3】【4】;

工具使用样例

(1) 通过example.py执行爆破猜解模块

命令:

  1. archangel@deskjet:bruteloops_dev~>./example.pytest.sqlite3testing.fake–help

输出:

  1. usage:example.pydbfiletesting.fake[-h]–usernameUSERNAME–passwordPASSWORD
  5. Fakeauthenticationmodulefortraining/testing
  9. optionalarguments:
  11. -h,–helpshowthishelpmessageandexit
  13. –usernameUSERNAMErequired-str-Usernametocheckagainst
  15. –passwordPASSWORDrequired-str-Passwordtocheckagainst

(2) 通过dbmanager.py创建输入数据库

命令:

  1. archangel@deskjet:bruteloops_dev~>./dbmanager.py–help

输出:

  1. usage:dbmanager.py[-h]dbfile{dump-valid,dump-credentials,import-values,import-credentials,delete-values,delete-credentials}…
  5. ManageBruteLoopsinputdatabases
  9. positionalarguments:
  11. dbfileDatabasefiletomanipulate
  13. {dump-valid,dump-credentials,import-values,import-credentials,delete-values,delete-credentials}
  15. SUBCOMMANDS:
  17. dump-validDumpvalidcredentialsfromthedatabase
  19. dump-credentialsDumpallcredentialvaluesfromthedatabase
  21. import-valuesImportvaluesintothetargetdatabase
  23. import-credentialsImportcredentialpairsintothetargetdatabase
  25. delete-valuesDeletevaluesfromthetargetdatabase
  27. delete-credentialsDeletecredentialpairsfromthetargetdatabase
  31. optionalarguments:
  33. -h,–helpshowthishelpmessageandexit

(3) 通过example.py执行模拟爆破猜解模块

命令:

  1. ./example.pytest.sqlite3\\
  3. –parallel-guess-count4–auth-threshold2\\
  5. –auth-jitter-min1s–auth-jitter-max5s\\
  7. –threshold-jitter-min10s–threshold-jitter-max20s\\
  9. -lftest.log\\
  11. testing.fake–usernameadministrator–passwordP@ssw0rd

输出:

  1. archangel@deskjet:bruteloops_dev~>./example.pytest.sqlite3-pgc4-at2-ajmin1s-ajmax5s-tjmin10s-tjmax20s-lftest.logtesting.fake–usernameadministrator–passwordP@ssw0rd
  3. 2020-12-0815:22:50,077-example.py-GENERAL-Initializingattack
  5. 2020-12-0815:22:50,078-BruteForcer-GENERAL-Initializing4process
  7. 2020-12-0815:22:50,078-BruteForcer-GENERAL-Loggingattackconfigurationparameters
  9. 2020-12-0815:22:50,078-BruteForcer-GENERAL-ConfigParameter–authentication_jitter:<Jitter(min="1s",max="5s")>
  11. 2020-12-0815:22:50,078-BruteForcer-GENERAL-ConfigParameter–max_auth_jitter:<Jitter(min="10s",max="20s")>
  13. 2020-12-0815:22:50,078-BruteForcer-GENERAL-ConfigParameter–max_auth_tries:2
  15. 2020-12-0815:22:50,078-BruteForcer-GENERAL-ConfigParameter–stop_on_valid:False
  17. 2020-12-0815:22:50,078-BruteForcer-GENERAL-ConfigParameter–db_file:test.sqlite3
  19. 2020-12-0815:22:50,083-BruteForcer-GENERAL-Beginningattack:15:22:50EST(20/12/08)
  21. 2020-12-0815:22:51,572-BruteForcer-INVALID-user1:pass1
  23. 2020-12-0815:22:53,544-BruteForcer-INVALID-admin:password
  25. 2020-12-0815:22:54,597-BruteForcer-INVALID-user1:password
  27. 2020-12-0815:22:55,025-BruteForcer-INVALID-admin:pass1
  29. 2020-12-0815:22:55,247-BruteForcer-INVALID-user2:pass1
  31. 2020-12-0815:22:56,307-BruteForcer-INVALID-user2:password
  33. 2020-12-0815:22:59,025-BruteForcer-INVALID-administrator:pass1
  35. 2020-12-0815:22:59,680-BruteForcer-INVALID-administrator:password
  37. 2020-12-0815:23:07,384-BruteForcer-INVALID-user1:welcome1
  39. 2020-12-0815:23:07,955-BruteForcer-INVALID-user1:P@ssw0rd
  41. 2020-12-0815:23:08,775-BruteForcer-INVALID-administrator:welcome1
  43. 2020-12-0815:23:09,631-BruteForcer-VALID-administrator:P@ssw0rd
  45. 2020-12-0815:23:12,057-BruteForcer-INVALID-user2:welcome1
  47. 2020-12-0815:23:12,299-BruteForcer-INVALID-admin:welcome1
  49. 2020-12-0815:23:12,309-BruteForcer-INVALID-user2:P@ssw0rd
  51. 2020-12-0815:23:12,534-BruteForcer-INVALID-admin:P@ssw0rd
  53. 2020-12-0815:23:12,748-BruteForcer-GENERAL-Attackfinished
  55. 2020-12-0815:23:12,748-BruteForcer-GENERAL-Shuttingattackdown
  57. 2020-12-0815:23:12,755-BruteForcer-GENERAL-Closing/joiningProcesses
  59. 2020-12-0815:23:12,758-example.py-GENERAL-Attackcomplete

项目地址

BruteLoops:【GitHub传送门】

原文地址:https://www.freebuf.com/articles/database/305541.html

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

快网idc优惠网 安全产品 BruteLoops:协议无关的在线密码安全检测API https://www.kuaiidc.com/56261.html

也想出现在这里?点击联系我~

相关文章

服务器安全狗怎么卸载 服务器安全狗卸载方法
服务器安全狗怎么卸载 服务器安全狗卸载方法
安全产品
4个月前 109
阿里云ECS服务器CentOS7上安装服务器安全狗Linux版
阿里云ECS服务器CentOS7上安装服务器安全狗Linux版
安全产品
4个月前 134
服务器被黑给我上了一课,由0到1轻松应对各式攻击!
服务器被黑给我上了一课,由0到1轻松应对各式攻击!
安全产品
4个月前 116
服务器安全管理都有哪些漏洞
服务器安全管理都有哪些漏洞
安全产品
4个月前 125
猜你喜欢
发表评论
暂无评论
TA的动态
快网idc优惠网

idc信息共同学习,共同进步,共同成长!

QQ交流群
快网idc优惠网

QQ交流群

您的支持,是我们最大的动力!
热门文章
热门评论
终身VIP会员限时钜惠
首页 SSL证书 菜单 论坛 问答