小白学安全第十七篇之WEB渗透之暴力破解

渗透测试、安全评估工作中,可能会遇到BS架构的登录页面,比如公司内部的邮件系统。为了测试组织人员安全意识,是否更改默认密码,是否有弱口令存在等情况?

【郑重提醒】

根据我国《网络安全法》等相关法律、法规规定,未经授权的渗透测试均属于攻击行为,本文所使用的系统环境及操作,均在自行搭建的靶机中完成,相关技术仅供安全爱好者交流使用,请勿用于真实环境测试,切记,切记,切记(重要的名词说三遍)!

【正文】

渗透测试、安全评估工作中,可能会遇到B/S架构的登录页面,比如公司内部的邮件系统。为了测试组织人员安全意识,是否更改默认密码,是否有弱口令存在等情况,可通过爆破的方式进行测试(此文限于无验证码的情况,为什么呢?大家可以想想为什么会出现验证码,哈哈)。

==============神奇的分割线==============

任务:爆破用户名为admin的登录密码。

工具:Burp

================正式开式================

在模拟平台中,有一个登录界面,如下图所示:

1.png

随意输入信息,Username:admin,Password:321,然后通过Burp工具进行拦截。

2.png

3.png

从上图可以看到我们输入的两个字段信息。点击右键,选择红框对应选项“Send tointruder”。

4.png

在爆破模块中,进行配置,如下图所示:

5.png

仅选中密码区域。接下来加载字典:

6.png

7.png

至此,配置完成,开始测试了,如下图所示:

8.png

测试完毕后,通过对比包长度,可以确定密码是否爆破成功,下图中,红框内的长度有别于其它长度,应该正确密码就是它(可能性较大)。

9.png

最后可在登录页面进行测试,果然就是它,如下图所示:

10.png

至此,内容结束。平日,大家听得很多的“撞库”,是如何做的呢?

未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 小白学安全第十七篇之WEB渗透之暴力破解

赞 (0)