burp暴力破解 ——合天网安实验室学习笔记
实验链接
本实验以最简单的一种形式展示暴力破解的原理和利用方法。
链接:http://www.hetianlab.com/expc.do?ce=cc787772-ee9e-41a6-b73f-35929f7597c8
实验简介
实验所属系列: DVWA系统课程
实验对象: 本科/专科信息安全专业
相关课程及专业: 信息网络安全概论
实验类别: 实践实验类
预备知识
本实验要求实验者具备如下的相关知识:
DVWA(Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
蛮力攻击(brute force),通俗的说就是使用千万个密码组合测试,直到找到正确的密码。这不是仅仅针对网站来说的,可以说任何需要用户输入账号密码验证的地方都有可能存在蛮力攻击。
实验目的
通过该实验熟悉爆破的原理和Burp Suite的使用。
实验环境
服务器:win2003+DVWA IP地址:10.1.1.174
测试者:win7,IP地址随机
实验步骤
步骤一
打开服务器的地址,如下图界面,默认用户:admin 密码:passowrd 输入后即可进入。
选择实验的级别为low ,然后submit提交。
点击 Brute Force 现在已经知道用户名为admin,不知道密码,尝试几次弱口令失败。
此时想到了暴力破解。双击打开burpsuite。
burpsuite不会使用的同学可参考我上一篇笔记:burp进行暴力破解
通过burpsuite独立完成整个爆破过程。
步骤二
利用burpsuite爆破的几个步骤,开启代理,添加变量,加载字典,开始攻击。
抓包如下图
更换密码多次抓包,且将数据发送至repeater、comparer进行分析。
根据repeater分析可知,该网站对密码尝试不受限,满足强力爆破的条件。
根据comparer分析可知,仅密码处不同。因此变量为明文密码。
现在通过intruder进行暴力破解的设置:
选中密码设置其成为变量,其他变量清除。
加载字典:
加载后如下:
开始攻击并查看结果
正确密码的长度和其他结果的长度不一样,所以password为正确密码。
双击该密码,可查看response,显示该密码可成功登录。
返回页面用该密码登录,此时登录成功。
答题
注:千万不要对他人的网站进行测试。如若使用他人网站做测试,造成的一切后果自负。
burp暴力破解 ——合天网安实验室学习笔记相关推荐
- 使用burp进行暴力破解 ——合天网安实验室学习笔记
实验链接 通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全. 链接:http://www.he ...
- BurpSuite实战——合天网安实验室学习笔记
burpsuite是一款功能强大的用于攻击web应用程序的集成平台,通常在服务器和客户端之间充当一个双向代理,用于截获通信过程中的数据包,对于截获到的包可以人为的进行修改和重放. 此BurpSuite ...
- 绕过黑名单检查实现文件上传1 ——合天网安实验室学习笔记
实验链接 文件上传指将客户端数据以文件形式封装,通过网络协议发送到服务器端.在服务器端解析数据,最终在服务端硬盘上作为真实的文件保存.了解文件上传漏洞产生的原因,掌握漏洞的利用方法. 链接:http: ...
- 摩尔斯电码和栅栏密码 ——合天网安实验室学习笔记
实验链接 通过学习本实验理解摩尔斯电码和栅栏密码的编码解码过程:掌握编写摩尔斯电码的编码解码程序和编写多功能栅栏密码的编码解码程序. 链接:http://www.hetianlab.com/expc. ...
- CSRF攻击实验 ——合天网安实验室学习笔记
实验链接 本实验以PHP和Mysql为环境,展示了CSRF攻击的原理和攻击过程.通过实验结果结合对攻击代码的分析,可更直观清晰地认识到Web安全里这种常见的攻击方式. 链接:http://www.he ...
- 合天网安就业班_CTF挑战赛-合天网安实验室
[TOCCTF挑战赛-合天网安实验室逆向解析] CTF挑战赛-合天网安实验室sourl.cn 1.逆向100 修改后缀为.apk 安卓模拟器打开,发现要求输入Password 用Android逆向助 ...
- 合天网安实验室CTF-基础50-0x01
合天网安实验室CTF-基础50-0x01 最近无聊时准备刷点题,由简到难慢慢来吧 题目描述 真的不能再简单了! 相关附件 misc50.zip 题目链接 参考解题步骤 1.下载下来的压缩包解压 ...
- 合天网安实验室CTF-Web100-Give Me Flag
合天网安实验室CTF-Web100-Give Me Flag 题目描述 哎,不小心把代码弄乱惹 相关附件 web100.zip 题目链接 参考解题步骤 1.下载附件打开后是一段JavaScri ...
- 合天网安实验室CTF-Exp200-Come on,Exploit me!
合天网安实验室CTF-Exp200-Come on,Exploit me! 题目描述 Audrey Tang. ⊙.⊙ 我只能说到这儿了 相关附件 exp200 题目链接 参考解题步骤 1.下 ...
- 合天网安实验室CTF-Steg150-一段欢快的曲调
合天网安实验室CTF-Steg150-一段欢快的曲调 题目描述 滴滴 相关附件 stego100.wav 题目链接 参考解题步骤 1.下载的附件是一段wav格式的音频,打开听了一下,确实是欢快 ...
最新文章
- 如何用Python画一棵漂亮的树
- Android OpenGL ES 入门系列(一) --- 了解OpenGL ES的前世今生
- 火狐浏览器如何设置启动页面
- Windows7 IIS安装与配置asp和asp.net(图解)教程
- 1.7 编程基础之字符串 33 判断字符串是否为回文 python
- 结对作业2:单元测试
- 用python写三角形_python写个三角形的问题
- (转)国内各家智能投顾比较
- LINUX下三个内核文件详解(vmlinuz/initrd.img/System.map)
- linux如何安装github下载的东西,Linux如何安装使用GitHub
- 期货大作手风云录 --简记
- 统计学习之第一天(可汗学院公开课:统计学)
- 英:常见符号英文读法
- 人工智能续写哈利波特,超魔幻风格你能接受吗?
- 掺铥铝酸钇晶体(Tm:YAP)晶体的资料及其相关产品目录
- V型滤池类毕业论文文献包含哪些?
- 第049篇:VBA之合并单元格、取消合并单元格并保留原来的数据
- 基于Ajax和forms组件实现注册功能
- 【软件质量保证与测试】实验一、基于Selenium+Python的自动化测试
- 【软考】计算机硬件基础知识2