蛮力字典攻击示例

Question

这是字典暴力攻击的一个示例，但是我不了解其背后的原理。是的，我确实知道字典暴力是当攻击者尝试从字典文件中组合密码时使用的。但是，如何在以下捕获中明确显示 如果您觉得在此之前查看数据包会有所帮助，请告诉我。

ps。如果标签不正确，我深表歉意

编辑：攻击者是192.168.56.1，受害者是192.168.56.101

编辑：我要说的是，此捕获来自我给的任务。此作业中的问题之一是：

• 攻击者如何利用此漏洞来获取访问权限？

我相信漏洞是端口22保持打开状态（可以在此屏幕快照之外的其他数据包中看到）。我的一群朋友怀疑攻击者使用蛮力来利用此漏洞并获得访问权限。

我的问题是，这是真的吗？您能否从此屏幕截图中分辨出来，还是需要查看其他数据包？该屏幕截图可以用作攻击者可能使用蛮力进行访问的证据吗？

Answer 1

如果您的任务是一种简单的数据包检查，那么

攻击者通过强行使用SSH服务获得了访问权限，并且该漏洞是由于使用了弱密码以及它允许​​基于密码的身份验证的事实。

1. 通过检查数据包捕获的屏幕截图，我们看到正在发出大量SSH身份验证请求。
2. 因此，攻击必须执行DoS或蛮力攻击。
3. 该问题明确指出攻击者已获得访问权限。
4. 因此，我们知道攻击是SSH暴力破解。

更新

Packettotal表明攻击者正在执行

1. 端口扫描（指示符：使用ICMP回显）

1. 从Web服务器走私数据

1. SSH暴力破解

Link to the report

更新2： 手动数据包分析得出以下结果：

1. 攻击者首先使用主动ARP扫描来扫描主机。
2. 开始对受害者进行端口扫描。
3. 然后找到了受害者计算机上运行的SSH服务器和Web服务器。
4. 尝试过暴力破解SSH，但失败
5. 向受害者网络服务器发送了GET请求，幸运的是它返回了 SSH专用密钥
6. 可以完全接触受害者