DVWA使用Burp suite暴力破解的時候老是Proxy不到,可能是火狐設置的問題。所以我直接拿一個相親網站進行的測試,沒有惡意,單純是進行學習實踐,破解完之后被老師提醒XD:
未經授權的滲透測試是違法的!謹記。
進入正題,接下來是破解過程,算是提供思路,為了信息安全不上截圖了,但是我這么個剛開始學習的小白都能輕易獲取,那這個網站可真夠不安全的:
最近開始脫離教程自己動手研究,從DVWA開始入手,剛剛整完SQL Injection、SQL Injection(Blind)、Brute Force,想找個網站試試,於是找到了一個相親網站,而且是很古老的相親網站,用的asp + access那種。
以下內容學習用的,沒有惡意。
網址:http://YS5qaWFvZG9uZy5uZXQvc3BlY2lhbC8yMDA2eGlhbmdxaW55dWU=/index.asp
攻擊內容:暴力破解用戶密碼
工具:Fox fire瀏覽器、Burp Suite
一、分析:
第一步肯定是實驗能不能繞過登錄,發現不行。然后發現登錄右側有一個入會須知,還有一個醒目的請填寫會員編號,密碼身份證后6位,真棒這明顯就是送密碼的。
經過分析,因為能力有限沒發現注入點,所以選擇暴力破解密碼,而且條件有利。
二、用Burp Suite處理查看
a) Burp Suite打開,配置好網絡代理,關於Burp Suite的基本使用可以看我的這篇文章https://www.cnblogs.com/wayne-tao/p/11028913.html
b) 打開網頁,以380***、111111登錄,目的就是破解出3800B1的密碼
c) 這時候burp suite已經抓取到信息
三、處理包信息
按Ctrl + I復制到intruder,進入intruder的positions發現密碼那里很明顯可以暴,把password里的內容兩邊加上$$,其他的$去掉。
挖坑,之后做關於這一步的詳細介紹分析!
四、做針對性的密碼本——密碼分析
a) 身份證后六位的倒數第二位,奇數偶數區別性別,這就砍掉一半了,寫密碼本的時候分開男女。本例是女性,所以用偶數本。
b) 六位里的前兩位是日期的日子:00-31,所以不是一般的六位數字組合。
c) 最后一位校驗位可能出現X,但是概率很小,單獨設密碼本,大本跑完沒有結果再跑這個。
五、跑密碼
現在全准備好了,進入payloads,選擇simple list,添加剛剛制作的女生密碼本,start attack。
六、等結果
午覺醒來,看length選項,時間長的點擊,下面會有各種選項,可以查看,它會提示這個可能是正確的,記住密碼,然后可以停下Burp suite了,回主頁輸入:登錄成功
本來登錄之后,想在 http://YS5qaWFvZG9uZy5uZXQvc3BlY2lhbC8yMDA2eGlhbmdxaW55dWU=/listview.asp 嘗試注入挖掘更多信息,但是沒成功,果然小白還是啥都不會啊!!!不過到這里,已經可以成功登錄,並且把用戶信息一覽無余,手機號等等,如果利用爬蟲,可以把信息爬蟲爬下來結構化,就是一份資料,網上那些賣資料的這真的是一個好方法!所以一定不要輕易在小網站填寫重要信息!