Допустим, что Вы пытались использовать эксплуатацию уязвимостей на веб-сервере, на веб-сайтах, которые лежат на этом сервере. Типичный сценарий состоит в сканировании машины и сборе информации.
Итак, Вы использовали этот метод, после этого Вы собрали некоторую информацию, касательно программного обеспечения, наличия открытых портов и т. д. Вы старались взломать сервер, через сервисы, но Вам по-прежнему ничего не удалось.
Хорошо, Вы решаетесь на взлом дата-центра, на котором располагаются сервера, но Вам опять же это не удалось. Вы пытались взломать пользователей веб-сайта или веб-сайтов, которые пользуются этими ресурсами. Также можно попробовать взломать админов, саппорт и т. д., но у Вас опять ничего не получилось. Можно применять социальную инженерию в подобных ситуациях.
И после того, как Вы все перебрали, и у Вас ничего не получилось, можно поговорить про брутфорс. Это довольно эффективная атака, которая направлена на получение доступа к странице авторизации. Страница авторизации есть на большинстве сайтов, и наша задача заключается в переборе паролей и логинов (если не знаем), на данном ресурсе.
Есть два типа брутфорса — это, собственно, сам брутфорс, и атака по словарю.
При брутфорсе используются все возможные комбинации пароля. Сочетание цифр, букв, символов усложняют успешное выполнение атаки, так как, к примеру, буквы могут быть в разном регистре. В случае сложного пароля, на эту атаку могут уйти годы, что не является актуальным.
В итоге мы придем к тому, что нам понадобится атака по словарю. Суть ее заключается в том, чтобы перебрать все возможные комбинации из готового списка паролей. Он может состоять из самых распространенных паролей, и не только.
Отличие атаки по словарю от брутфорса в том, что в первой атаке используется определенный набор готовых паролей, и это не дает 100% гарантии результата, что не скажешь про брутфорс, но об этом я уже говорил (займет много времени).