黑客零基础第三章-Web漏洞利用第三节-登陆爆破
本讲讲述了,在一个web系统无登录尝试限制的情况下,使用burp对已知用户的登录密码进行爆破。
1.场景
虚拟机:vmware
攻击主机:kali
IP:192.168.239.142
靶机:Windows10
IP:192.168.239.1
服务:xampp启动的DVWA
2.DVWA 爆破漏洞简介
用户名密码正确,会返回这段话
如果输入错误的用户名密码,提示用户名密码错误,
3.Burp进行爆破
开启burp,在上面的网页上点击login。burp截获如下,
不是明文的密码也能看到。
当前页面右键,点击“send to intruder”
Intruder中将密码这个字段作为爆破选项,
在payload标签页选定密码字典,我们选的是kali自带的fasttrack.txt
点击“start attack”开始攻击,找到长度不一样的,就是正确密码。
使用burp社区版爆破,没有多线程支持,速度特别慢。
上一篇:
通过多线程提高代码的执行效率例子
下一篇:
如何让在Linux检查用户账户到期时间