您好、欢迎来到现金彩票网!
当前位置:21点 > 字典式攻击 >

Kali Linux Web渗透测试手册(第二版) - 42- 使用Burp Suite进行

发布时间:2019-07-20 00:38 来源:未知 编辑:admin

  一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。在本文中,我们将使用BurpSuite Intruder尝试对登录页面进行字典攻击。

  我们将看到一个登录表单。 我们尝试测试用户名和密码。4.现在,在Proxy的历史记录里查找我们刚刚通过登录尝试发出的POST请求,并将其发送给Intruder。

  6.现在,我们通过突出显示参数的值并单击Add§,将位置置于两个POST参数(adminname

  7.由于我们的密码列表针对所有用户,因此我们选择Cluster bomb作为攻击类型:8.

  11.开始攻击: 我们可以看到所有响应似乎具有相同的长度,但是有一个:admin / admin组合具有状态303(重定向)和次要长度。 如果我们检查它,我们可以看到它是重定向到管理员的主页:

  至于结果,我们可以看到所有失败的登录尝试得到相同的响应,但是一个状态为200(OK),在这种情况下长度为813个字节,因此我们假设成功的一个必须是不同的,在最小的长度(因为它必须重定向或将用户发送到他们的主页)。 如果发现成功和失败的请求长度相同,我们还可以检查状态代码或使用搜索框在响应中查找特定模式。更多…

  / usr / share / wordlists中包含一组非常有用的密码字典和单词列表。您将在那里找到的一些文件如下:

  :RockYou网站于2010年12月遭到黑客攻击,泄露了超过1400万个密码,此列表包含了这些密码。这些密码存档在此文件中,因此您需要在使用之前将其解压缩:

  包含常见的子域名,例如intranet,ftp或当暴力破坏DNS服务器时它很有用。

  :在这个目录中,我们可以找到一大堆用于网络攻击和暴力破解文件的模糊字符串。

  :此目录包含MetasploitFramework插件使用的所有默认词典。它包含带有多个服务,主机名,用户名,文件名等许多默认密码的字典。返回搜狐,查看更多

http://texastop40.com/zidianshigongji/151.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有