DVWA使用Burp suite暴力破解的时候老是Proxy不到,可能是火狐设置的问题。所以我直接拿一个相亲网站进行的测试,没有恶意,单纯是进行学习实践,破解完之后被老师提醒XD:
未经授权的渗透测试是违法的!谨记。
进入正题,接下来是破解过程,算是提供思路,为了信息安全不上截图了,但是我这么个刚开始学习的小白都能轻易获取,那这个网站可真够不安全的:
最近开始脱离教程自己动手研究,从DVWA开始入手,刚刚整完SQL Injection、SQL Injection(Blind)、Brute Force,想找个网站试试,于是找到了一个相亲网站,而且是很古老的相亲网站,用的asp + access那种。
以下内容学习用的,没有恶意。
网址:http://YS5qaWFvZG9uZy5uZXQvc3BlY2lhbC8yMDA2eGlhbmdxaW55dWU=/index.asp
攻击内容:暴力破解用户密码
工具:Fox fire浏览器、Burp Suite
一、分析:
第一步肯定是实验能不能绕过登录,发现不行。然后发现登录右侧有一个入会须知,还有一个醒目的请填写会员编号,密码身份证后6位,真棒这明显就是送密码的。
经过分析,因为能力有限没发现注入点,所以选择暴力破解密码,而且条件有利。
二、用Burp Suite处理查看
a) Burp Suite打开,配置好网络代理,关于Burp Suite的基本使用可以看我的这篇文章https://www.cnblogs.com/wayne-tao/p/11028913.html
b) 打开网页,以380***、111111登录,目的就是破解出3800B1的密码
c) 这时候burp suite已经抓取到信息
三、处理包信息
按Ctrl + I复制到intruder,进入intruder的positions发现密码那里很明显可以暴,把password里的内容两边加上$$,其他的$去掉。
挖坑,之后做关于这一步的详细介绍分析!
四、做针对性的密码本——密码分析
a) 身份证后六位的倒数第二位,奇数偶数区别性别,这就砍掉一半了,写密码本的时候分开男女。本例是女性,所以用偶数本。
b) 六位里的前两位是日期的日子:00-31,所以不是一般的六位数字组合。
c) 最后一位校验位可能出现X,但是概率很小,单独设密码本,大本跑完没有结果再跑这个。
五、跑密码
现在全准备好了,进入payloads,选择simple list,添加刚刚制作的女生密码本,start attack。
六、等结果
午觉醒来,看length选项,时间长的点击,下面会有各种选项,可以查看,它会提示这个可能是正确的,记住密码,然后可以停下Burp suite了,回主页输入:登录成功
本来登录之后,想在 http://YS5qaWFvZG9uZy5uZXQvc3BlY2lhbC8yMDA2eGlhbmdxaW55dWU=/listview.asp 尝试注入挖掘更多信息,但是没成功,果然小白还是啥都不会啊!!!不过到这里,已经可以成功登录,并且把用户信息一览无余,手机号等等,如果利用爬虫,可以把信息爬虫爬下来结构化,就是一份资料,网上那些卖资料的这真的是一个好方法!所以一定不要轻易在小网站填写重要信息!