[DVWA] Brute Force

Vulnerability: Brute Force

무차별 대입 공격 (Brute Force Attack)에 대한 Practice 이다.

무차별 대입 공격은 특정 정보를 알아내기 위해 가능한 모든 값을 대입하여 원하는 정보를 알아내는 공격이다.

여러가지지 방법이 존재하지만 간단히 다음의 두가지를 생각해 볼 수 있다.

1. 모든 경우의 수

공격하는 대상에 대한 값으로서 가능한 모든 경우의 수를 대입해 보는 것이다. 각 자리에 대하여 가능한 모든 문자, 숫자, 기호를 대입하여 만들 수 있는 모든 경우의 수를 시도해 보는 방식으로서 다음의 장단점을 생각해 볼 수 있다.

장점
시간이 오래 걸리더라도 언젠가는 찾을 수 있다.
(고성능, 대량의 자원을 이용하면 더 빠르게 찾는 것이 가능하다.)

단점
패스워드의 길이가 길어지는 경우, 사실상 공격이 어렵다.
(시간적으로, 자원적으로 너무 많은 것들이 필요하게 된다. 불가능. 은 아닐 수 있지만, 응답시간 지연, 계정 Lock과 같은 보안조치만 있더라도, 길이가 길어지면 실질적으로는 대입만으로는 불가능하다고 볼 수 있다.)

 

2. 딕셔너리 공격

딕셔너리는 말그대로 사전이라는 의미로서 사람들이 자주 쓰는 값을 이용하는 것이다.

많은 사람들이 패스워드 같은 값을 생성할 때 기억하기 쉬운 값을 사용하는 것을 역으로 이용하는 것이다.

worst password / most common password 와 같이 사람들의 사용 빈도 수가 높은 값들을 모아둔 목록(리스트)를 이용하여 각 값을 대입하는 방식을 취한다.

장점
사람들이 보안적인 것을 생각하지 않거나, 특정 사이트들에서 취약하고, 쉬운 비밀번호를 허용하는 경우에 해당 리스트에 일치하는 값이 있을 가능성이 높다. 이 경우, 모든 경우의 수를 입력하는 것에 비하여 빠른 속도를 제공할 수 있다.

단점
무작위 값을 사용한다면 값이 파일에 포함되어 있지 않을 확률이 높다. 이런 경우 이 방법으로는 알아내기 힘들다고 볼 수 있다.
(목록이 더 많은 파일을 이용하거나, 패스워드 변형 및 조합을 이용하여 더 많은 패스워드에 대하여 시도해 볼 수 있겠지만, 많은 시간을 투자하더라도 못 찾아낼 확률이 있다는 큰 단점이 존재한다.)

 

DVWA Brute Force 실습

실습 환경
- Windows Docker를 이용한 DVWA
- Windows 환경의 Burp Suite

사용된 계정
admin / password

Security Level: Low

Low 레벨의 경우, 취약점이 단순하기 때문에 Burp Suite의 Intruder를 이용하기로 한다.

Burp Suite의 Intruder 기능을 이용하여, Paylaod position에서 대상을 password 파라미터로 설정한다.

Paylaods에서 Top 200 most common passwords of the year 에서 년도별 가장 흔한 비밀번호 목록을 가져와서 대입을 하는 방식으로 Brute Force 를 진행하려한다.

다음은 2019 ~ 2023 년도의 가장 흔했던 비밀번호들 목록이다.

Reference
https://nordpass.com/most-common-passwords-list/

top 200 common password 2019~2022

top 200 common password 2023

위의 리스트를 텍스트화 하여 다음과 같이 정리하였고 이를 payload setting의 simple list로서 넣어준다.

top_200_most_common_passwords_2019(n).txt

0.00MB

top_200_most_common_passwords_2020(n).txt

0.00MB

top_200_most_common_passwords_2021(n).txt

0.00MB

top_200_most_common_passwords_2022(n).txt

0.00MB

top_200_most_common_passwords_2023(n).txt

0.00MB

위의 목록 중에 가장 최근의 top 200 most common passwords 2023을 이용한다.

공격을 실행하면 다음과 같이 결과를 확인할 수 있다.

위와 같이 올바르지 않은 경우 다음과 같은 메시지를 확인할 수 있다.

Username and/or password incorrect.

반면 목록에 해당하는 비밀번호가 존재하여, 로그인에 성공한 경우 다음과 같이 응답(response)의 길이가 다른 것을 확인할 수 있고, 이를 확인해보면 성공적으로 로그인 되는 것을 확인할 수 있다.

위의 결과에서 볼 수 있듯이, Low 레벨의 경우 Burp Suite의 Intruder 기능만을 이용해도 쉽게 뚫을 수 있는 것을 확인할 수 있다.

---

Security Level: Medium

Medium 레벨의 경우, 로그인 시도가 실패하면 일정 시간 프로세스를 sleep 시켜 다음 시도에 대한 시간을 지연시킨다.

하지만, Low 레벨에서 진행했던 방법과 같은 방법을 취하더라도, 단지 시간이 조금 더 걸릴 뿐 쉽게 뚫리게 된다.기존의 방식과 같은 방식으로 진행한 결과를 보면 아래와 같다.

올바르지 않은 비밀번호가 입력된 경우에는 다음과 같이 응답 시간이 2000이 넘어가게 된다.

반면 일치하는 비밀번호가 입력되는 경우에는 응답시간이 한자리 수로 빠르게 응답되며, 응답의 길이도 다른 것을 확인할 수 있다.

---

Security Level: High

High 레벨의 경우 다음과 같이 user_token 이라는 이름의 CSRF token이 존재한다.

그래서 비밀번호를 대입하는 방식에 있어 위의 Low, Medium 방식에서 사용한 방법을 그대로 사용하면 user_token이 일치하지 않아 다음과 같이 토큰이 일치하지 않는 다는 메시지가 뜨게 되고, 로그인 시도가 제대로 되지 않는다.

따라서 추후에 다른 방식을 이용하여 시도해보기로 한다.

High Level의 경우, Medium Level의 비밀번호가 틀리는 경우 응답 시간을 지연시키는 방식을 포함한다.
랜덤한 시간을 지연시키는 것은 물론이고, user_token을 사용하여 보안을 하게된다. 하지만 GET 방식을 이용하고 있고, 랜덤한 시간 지연이 있을 뿐 Brute Force 공격이 불가능하지 않다.

---

Security Level: Impossible

Impossible 레벨의 경우 High Level의 조치를 가져오면서도, GET 방식 대신 POST 방식을 사용하고 있다.

또한 추가적으로, 틀린 비밀번호를 여러번 대입하는 경우, 너무 많은 틀린 시도가 있었다며, 15분간 계정을 Lock 시켜, 로그인 시도를 막는 조치가 되어 있다.

이를 통해 Impossible Level의 경우 Brute Force 공격이 거의 불가능하다고 볼 수 있다.

---

Brute Force 대응

1. 잠금 설정 (Locking)

로그인 실패 시 일정 시간동안 로그인을 제한하는 방법이다.

일정 횟수 이상 틀리는 경우에 잠금 조치를 통해 로그인을 막는 방법을 사용하여 무작위 대입 공격의 시간을 지연 시킬 수는 있지만 완벽한 방법이라고는 할 수 없다.

또한 공격자가 고의적으로 틀린 값을 이용한 로그인 시도를 반복적으로 수행함으로써 특정 사용자의 사이트 이용을 막을 수 있기 때문에 좋은 방법이라고 할 수는 없다. (악의적으로 틀린 시도를하여, 올바른 사용자의 정상적인 이용을 방해하는 것이다.)

ex) 스마트폰 잠금해제를 일정 횟수 이상 틀린 경우, "30초 후에 다시 시도하세요." 와 같은 것을 생각할 수 있다.

특정 방식을 통한 시도가 일정 횟수가 초과되는 경우 우선적으로 계정을 잠금하고, 다른 방식을 통한 로그인을 제안하도록 하는 것이 좋다.

ex) 계정이 잠기는 경우, 추가 인증을 통해 계정의 잠금을 해제할 수 있다.

 

2. 캡챠 (CAPTCHA)

자동화된 프로그램이 알아볼 수 없는 글씨나 그림 문자를 로그인 시도 시 함께 입력하도록 하는 방법이다. 자동으로 패스워드를 계속해서 변경해서 보내는 것이 불가능해진다. (추가적인 인증이 존재하기 때문에 단순 대입이 불가능해진다는 것이다.)

이것이 웹 사이트에서 흔히 사용하는 통상적인 방법이라고 볼 수 있다.

(하지만 AI의 발전으로 이런 것도 뚫을 수 있는 것이 아닌가 하는 생각이 든다. 자동화 프로그램이 알아볼 수 없고 인간만 식별 가능한 것을 이용하는 것이지만, AI의 발전에 의해 이런것 조차도 인식할 수 있을 가능성이 커지고 있다는 것은 생각해볼만 하다고 본다.)

---

질문 환영, 수정 및 보완에 대한 지적 환영