暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的。
Burp Suite
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
破解教程:https://www.52pojie.cn/thread-691448-1-1.html
开始爆破
准备靶机:这里用DVWA,直接设置到high
准备字典:这里用Nmap提供的用户名和密码字典
root@kali:~# ls /usr/share/nmap/nselib/data/ | egrep "password|username"
passwords.lst
usernames.lst
配置代理:
![](https://img.haomeiwen.com/i13236281/21a8aca9e1c05057.png)
![](https://img.haomeiwen.com/i13236281/819cfa431aed8967.png)
And Start...
![](https://img.haomeiwen.com/i13236281/6ca5569e59257150.png)
注意:使用前,先清理旧配置和浏览器缓存。
![](https://img.haomeiwen.com/i13236281/477e1a670c8185a1.png)
![](https://img.haomeiwen.com/i13236281/8b94245ffc90c65a.png)
![](https://img.haomeiwen.com/i13236281/ea8531701bfb781a.png)
![](https://img.haomeiwen.com/i13236281/2a884279d7bc0143.png)
![](https://img.haomeiwen.com/i13236281/5d8b7ebe8235f6ba.png)
注意:需要把第一个获取的token添加上
![](https://img.haomeiwen.com/i13236281/c1da704233e17fb6.png)
The End !!!
防止暴力破解
1、使用Anti-CSRF token,防止无脑暴力破解
2、设置登录失败次数,限制暴力破解,三次错误登录,用户被锁定15分钟。
3、使用POST提交用户名和密码,更加安全,并对用户输入进行过滤处理。
4、使用预编译处理机制,防止SQL注入。
了解更多BurpSuite技巧:BurpSuite-最详细教程使用手册
网友评论