이번 글에서는 딕셔너리 공격에 대하여 실습을 해본다!
딕셔너리 공격이란?
-> 공격자가 미리 사람들이 password로 자주 사용하는 문자열들을 리스트로 정리해놔 그 리스트 데이터들만 가지고
브루트포스 공격에 대입하여 공격을 시도하는 방식
보안을 그리 중요시 하지 않고 간단하거나 흔한 비밀번호를 설정해 놓았다면 이러한 공격에 당할 위험이 크다...
그렇다면 바로 실습을 진행해보자
딕셔너리 공격 실습
칼리리눅스로 실습을 진행중이라면
터미널에 텍스트 편집기를 이용해
/usr/share/john/password.lst 파일을 열어보자
(ex: gedit /usr/share/john/password.lst )
이 파일을 열어보면
이런식으로 자주 사용되는 password들의 리스트가 저장되어 있다.
만약 보안을 중요시 하지 않은 사용자라면 이 딕셔너리 공격을 통해
해킹당할 위협이 높을 것 이다..
한번 이 딕셔너리 공격을 실습하여 보자.
다시 Intruder의 payloads로 가서
이번엔 Brute forcer를 simple list로 바꿔준다.
그 뒤 load버튼을 눌러
/usr/share/john/password.lst
파일을 추가해주면
이런식으로 lst의 데이터들이 입력이 된다
#!으로 시작하는 문장들은 주석에 관한 문장들이기 때문데
Remove를 눌러 다 지워주면
자 이제 딕셔너리 공격을 위한 준비가 끝났다.
이제 공격을 시도해보자.
start attack를 클릭!
다시 공격이 시작된다!
(공격은 상단의 Attack-pause로 멈출 수 있다)
공격한 대상들의 length를 잘 살펴보면
password를 비밀번호로 대입한 결과값의 length값이 다른 값들과 다르다는 점을 알 수 있다.
(length 버튼을 누르면 자동으로 정렬되어 알아보기 쉽다)
다른 값들과 다르다는 점은 무언가 다른 응답을 받았다는 의미로
해석이 가능하다.
한번 password로 비밀번호를 입력해보면
로그인이 성공했다!
딕셔너리 공격은 이런 식으로 진행된다.
오늘의 교훈
간단하거나 흔한 비밀번호는 해킹당하는 지름길이다
'웹해킹 > DVWA' 카테고리의 다른 글
DVWA 브루트 포스 - 방어법 (0) | 2020.07.11 |
---|---|
DVWA 브루트 포스 - 이론과 공격 (1) | 2020.07.11 |