1.Brute Force Website Login Page using Burpsuite
- 1. 安裝實驗環境
在windows系統上安裝DVWA,根據網絡安裝教程先安裝phpStudy(服務器和數據庫一體化配置),然后將下載好的dvwa壓縮包解壓到網站目錄中,瀏覽器輸入網址登錄dvwa網頁,然后創建數據庫即可。
如圖顯示配置成功,默認用戶名和密碼為:admin、password
- 2. Burpsuite攔截以及暴力破解
配置瀏覽器代理服務器(本地網址也要使用代理),再攔截未開啟之前登錄dvwa主頁,點擊brute force,隨便輸入表單密碼。
然后開啟intercept攔截,點擊login按鈕(記得調整dvwa安全等級為中低級 )
send to intruder
選中password作為add tab
點擊payload准備破解,可以用load加載密碼字典也可以通過add添加密碼項
點擊attack開始破解
根據length選項可以看出第5個密碼是我們想要的。
- 3. 實驗進階
在不知道用戶名和密碼的情況下進行暴力破解,步驟同上面一樣,只是你需要准備兩個密碼詞典,過程詳情不再贅敘。
2.Brute Forcing Web Logins using hydra
2.1.工具准備
安裝DVWA和Burpsuite,之前的實驗已經提及,只剩下hydra的安裝。Linux版本直接官網下載,如果是Kali的話系統自帶。windows版本下載地址:https://github.com/maaaaz/thc-hydra-windows
安裝后運行
2.2.低安全等級暴力破解
配置好代理服務器,啟動burpsuite攔截
點擊brute force標簽輸入admin和密碼
根據捕獲的包構造hydra命令語句,密碼文件要放在當前路徑下
hydra有多種破解命令,這里用的是GET/POST方式提交破解web登錄
注意一定要加上Cookie那一行的全部內容,不然會顯示所有密碼都是合法的。
2.3.高安全等級暴力破解
由於中安全等級的hydra命令和低等級一樣,只是破解所需時間長了一點,在此不多贅述。
觀察bruteforce的頁面代碼發現有隱藏提交項,這樣我們就不能通過上面簡單的命令進行暴力破解了。
還容易看出這個value是隨着每次提交在變化的。
3.實驗總結
不論是用burpsuite還是hydra,重要的不是工具的使用而是密碼本的構造。一般的網站都要求密碼6位以上(或者8~16位),並且要包含大小寫字母或者特殊字符,這加大了猜中密碼的難度。
但對於暴力破解來講,密碼的要求越具體構造密碼本越方便,網上有很多輔助構造密碼本的工具,在此不詳細討論了。更多時候我們會采用社工先行的思路采集更多的信息以輔助密碼可能范圍的縮小,
以縮短破解的時間。最后,未經允許暴力破解網站屬違法行為,請量力而行!