暴力破解的原理就是使用攻击者自己的用户名和密码字典,一个一个去枚举,尝试是否能够登录。因为理论上来说,只要字典足够庞大,枚举总是能够成功的。
Burp Suite
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
破解教程:https://www.52pojie.cn/thread-691448-1-1.html
开始爆破
准备靶机:这里用DVWA,直接设置到high
准备字典:这里用Nmap提供的用户名和密码字典
root@kali:~# ls /usr/share/nmap/nselib/data/ | egrep "password|username"
passwords.lst
usernames.lst
配置代理:
配置burpsuite代理
配置浏览器代理
And Start...
清理brupsuite旧配置
注意:使用前,先清理旧配置和浏览器缓存。
代理拦截发送到入侵模块
配置参数,注意选pitchfork攻击类型
获取页面上的token值
配置密码列表
配置token
注意:需要把第一个获取的token添加上
破解成功,按Length查看结果
The End !!!
防止暴力破解
1、使用Anti-CSRF token,防止无脑暴力破解
2、设置登录失败次数,限制暴力破解,三次错误登录,用户被锁定15分钟。
3、使用POST提交用户名和密码,更加安全,并对用户输入进行过滤处理。
4、使用预编译处理机制,防止SQL注入。
了解更多BurpSuite技巧:BurpSuite-最详细教程使用手册
网友评论