今天小編給大家演示Web滲透中最簡單的暴力破解,今天我們要用到的工具是burpsuite對用戶賬號密碼進行暴力破解,首先聲明,此文章僅用於教學,大家不要在未經許可的情況下對別人的網站使用暴力破解,這時違法行為,自己寫個網站試就好——實戰篇
1.首先我們打開burpsuite這款軟件:
2.然后打開我們准備爆破的一個登陸界面:
3.都准備好后,我們要先設置代理,在burpsuite中,點擊"poxy"選項,找到"Options"看網址是否是127.0.0.1:8080
Proxy:是一個攔截HTTP/S的代理服務器,作為瀏覽器和目標應用程序的中間人,允許你攔截、查看、修改在兩個方向上的原始數據流。
Proxy默認開啟的是8080端口,我們可以在Options選項修改默認值。
4.接着下一步,設置瀏覽器代理,小編這里用的是火狐瀏覽器,找到"選項"-》"高級"-》"網絡"中找到代理,手動配置代理中填寫127.0.0.1 端口8080,確定即可。
5.然后進入我們剛准備的"登陸界面",隨便輸入一個賬號密碼,我這里就輸入賬號:abc 密碼:123
6.這時不要點擊登陸,打開burpsuite,找到"intercept",這時下面"intercept is on",可以理解為攔截數據,我們等會登陸那邊數據就會被攔截下來
7.這時我們返回網頁,點擊"登陸",然后打開burpsuite就會發現數據被攔截下來:
點擊登陸:
打開burpsuite,數據已經攔截下來:
上面我紅色框是我們剛輸入的賬號密碼。
8.這時我們已經攔截到數據,右擊空白的地方,點擊"send to intruder",發送過去。
send to intruder:我把它理解為發送到intruder
Intruder:是一個自動化攻擊的工具
點擊工具欄的"Intruder"我們就可以看見我們剛發過來的目的網址和端口號:
我們這里選擇"Positions",選擇最后一個,Cluster bomb進行密碼爆破:
Positions:我把它理解為攻擊類型
Cluster bomb:我們可以理解為"集束炸彈",因為我們賬號密碼都不知道,Cluster bom集成前三種功能,所以選擇第四種,但是用時最長,其他三種大家自己百度一下就知道了。
設置好攻幾模式后就開始導入密碼字典,這里打開自己的復制密碼字典直接粘貼進去就好了"Paste":
Paste:粘貼
Load:導入
Remove:去掉
Clear:清楚
所有配置以及完成,點擊"start attack"開始爆破
這時會彈出這個窗口,說明已經在爆破了
我們可以看到,后面的值全是319,這些都說明我們的賬號密碼都不正確。
經過漫長的等待.......
我們找到了不一樣的357,直接打開分析
找到賬號密碼,賬號llj6,密碼123llj,我們去試一下
去剛才登陸頁面登進去看一下:
大家可以看見我已經登陸進來了,由於隱私問題,只截取一部分,不好意思。
