1.Brute Force Website Login Page using Burpsuite
- 1. 安装实验环境
在windows系统上安装DVWA,根据网络安装教程先安装phpStudy(服务器和数据库一体化配置),然后将下载好的dvwa压缩包解压到网站目录中,浏览器输入网址登录dvwa网页,然后创建数据库即可。
如图显示配置成功,默认用户名和密码为:admin、password
- 2. Burpsuite拦截以及暴力破解
配置浏览器代理服务器(本地网址也要使用代理),再拦截未开启之前登录dvwa主页,点击brute force,随便输入表单密码。
然后开启intercept拦截,点击login按钮(记得调整dvwa安全等级为中低级 )
send to intruder
选中password作为add tab
点击payload准备破解,可以用load加载密码字典也可以通过add添加密码项
点击attack开始破解
根据length选项可以看出第5个密码是我们想要的。
- 3. 实验进阶
在不知道用户名和密码的情况下进行暴力破解,步骤同上面一样,只是你需要准备两个密码词典,过程详情不再赘叙。
2.Brute Forcing Web Logins using hydra
2.1.工具准备
安装DVWA和Burpsuite,之前的实验已经提及,只剩下hydra的安装。Linux版本直接官网下载,如果是Kali的话系统自带。windows版本下载地址:https://github.com/maaaaz/thc-hydra-windows
安装后运行
2.2.低安全等级暴力破解
配置好代理服务器,启动burpsuite拦截
点击brute force标签输入admin和密码
根据捕获的包构造hydra命令语句,密码文件要放在当前路径下
hydra有多种破解命令,这里用的是GET/POST方式提交破解web登录
注意一定要加上Cookie那一行的全部内容,不然会显示所有密码都是合法的。
2.3.高安全等级暴力破解
由于中安全等级的hydra命令和低等级一样,只是破解所需时间长了一点,在此不多赘述。
观察bruteforce的页面代码发现有隐藏提交项,这样我们就不能通过上面简单的命令进行暴力破解了。
还容易看出这个value是随着每次提交在变化的。
3.实验总结
不论是用burpsuite还是hydra,重要的不是工具的使用而是密码本的构造。一般的网站都要求密码6位以上(或者8~16位),并且要包含大小写字母或者特殊字符,这加大了猜中密码的难度。
但对于暴力破解来讲,密码的要求越具体构造密码本越方便,网上有很多辅助构造密码本的工具,在此不详细讨论了。更多时候我们会采用社工先行的思路采集更多的信息以辅助密码可能范围的缩小,
以缩短破解的时间。最后,未经允许暴力破解网站属违法行为,请量力而行!