網絡安全里裝着好多人的俠客夢。但是不能觸碰鐵律,所以,只小小的自娛自樂。
自己練習,大都會用到DVWA,一個很好的安全測試平台,自己搭建(很簡單,傻瓜式搭建),自己設置安全級別,自己驗證各種漏洞攻擊方式。(這里不再贅述,有時間可以將DVWA 的搭建再細傳上來)
1、代理設置
將owasp zap 的本地代理設置成127.0.0.1 端口8080
測試用的瀏覽器也設置成同樣的代理(可以用proxy switcher等快捷代理設置插件,也可以自己手動設置,例如如下)
2、抓包
保持打開owasp zap,不做任何操作。這時打開設置了代理的瀏覽器,訪問想要進行暴力破解的網站,例如http://127.0.0.1/DVWA-master/DVWA-master/login.php (此次測試設置dvwa security為low,想嘗試更難的等級,則設置為high,high登記由user_token,破解稍微麻煩一些)。
在該登陸頁面,隨意錄入用戶名、密碼(例如test test),點擊login
顯然登陸失敗。
這時查看owasp zap 中頁面,查看歷史記錄中最新的一條,即此次操作抓到的包
雙擊這條記錄,查看對應的請求、響應報文
看到get請求:GET http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/brute/?username=test&password=test&Login=Login
其中username、password是我們隨意輸入的test test
3、導入字典
通過2可知,我們的在前端頁面用戶名、密碼參數分別為username、password,我們要破解的就是匹配的這兩個字段。
下面對這兩個字段導入字典
選中“歷史”標簽的url記錄,右鍵選擇 攻擊--Fuzz,如下圖
點擊Fuzz后,進入如下頁面
選中test,點擊右側的“Add” 按鈕 ,在彈出的子框中,點擊Add
“類型”默認為“String” 即可手動輸入猜測的用戶名,也可以選擇類型為“”文件“導入准備好的字典,如下:
同樣,對password也可以進行字典的導入,選中password的值test,點擊”Add“
同樣導入password的常用密碼。點擊”Start Fuzzer“,即開始進行username和password准備字典中個數乘積次數的自動匹配猜解。
點擊后,快速出來32條(4*8)結果,如下
查看結果中Size Resp Header 即數據包大小,只有一條是4.87kib,其他都是4.79kib,和第一次進行抓包時的大小一樣。因登陸成功和失敗的頁面差異,不妨猜測這條包大小與眾不同的記錄即破解成功的記錄。
驗證一下,雙擊這條4.87kib大小的記錄,查看請求和響應報文。發現響應報文中有”Welcome to the password protected area admin“ 這樣一句話,顯然破解成功。
在這條記錄的請求報文,還是有記錄的payloads中都有注明用戶名、密碼。所以,至此,得到了可以登陸的用戶名密碼。
嘗試使用該用戶名、密碼登陸可成功。