美文网首页
暴力破解原理及工具 - 安全工具篇

暴力破解原理及工具 - 安全工具篇

作者: DreamsonMa | 来源:发表于2019-04-16 16:41 被阅读0次

暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的。

Burp Suite

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

破解教程:https://www.52pojie.cn/thread-691448-1-1.html

开始爆破

准备靶机:这里用DVWA,直接设置到high
准备字典:这里用Nmap提供的用户名和密码字典

root@kali:~# ls  /usr/share/nmap/nselib/data/ | egrep "password|username"
passwords.lst
usernames.lst

配置代理:


配置burpsuite代理 配置浏览器代理

And Start...

清理brupsuite旧配置
注意:使用前,先清理旧配置和浏览器缓存。 代理拦截发送到入侵模块 配置参数,注意选pitchfork攻击类型 获取页面上的token值 配置密码列表 配置token
注意:需要把第一个获取的token添加上 破解成功,按Length查看结果

The End !!!

防止暴力破解

1、使用Anti-CSRF token,防止无脑暴力破解
2、设置登录失败次数,限制暴力破解,三次错误登录,用户被锁定15分钟。
3、使用POST提交用户名和密码,更加安全,并对用户输入进行过滤处理。
4、使用预编译处理机制,防止SQL注入。

了解更多BurpSuite技巧:BurpSuite-最详细教程使用手册

相关文章

网友评论

      本文标题:暴力破解原理及工具 - 安全工具篇

      本文链接:https://www.haomeiwen.com/subject/ukgywqtx.html