目录
三,使用BurpSuite Intruder对登录页面进行字典攻击实验
一,介绍Burp Suite
Burp Suite是一个强大的网络安全测试工具,通常被安全专业人员用于评估和改善系统的安全性。它提供了许多功能,用于检测和修复Web应用程序的漏洞。burp suite的下载可以在官网上下载https://portswigger.net/burp/,除了这个社区版还有专业版,不过需要付费,但是会给你一个月的试用期。
二,实验背景
检测 web应用程序身份验证和会话管理中一些最常见漏洞的过程,以及攻击者如何滥用这些漏洞以获得对受限制信息的访问,这称为身份验证。当今web应用程序中最常见的身份验证方法是使用用户名(或标识符)和密码组合。HTTP是无状态的协议,这意味着它的每个请求都是独一无二的,因此应用程序还需要一种方法来区分来自不同用户的请求,并允许它们执行可能需要由同一用户执行的一系列请求和同时连接的多个用户执行的任务。这称为会话管理。cookie中的会话标识符是现代 web应用程序中最常用的会话管理方法,尽管Token令牌(包含在每个请求的授权头中发送的用户标识信息的值)在某些类型的应用程序中日益流行,例如后端web服务。
三,使用BurpSuite Intruder对登录页面进行字典攻击实验
一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,爆破攻击在Web应用程序中是不可行的。
一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。
1.实验步骤:
(1)首先,我们将 Burp Suite设置为浏览器的代理。
(2)浏览到http://192.168.141.137(靶机的IP地址)/WackoPicko/admin/index.php?page=login
(3)我们将看到一个登录表单。我们尝试测试用户名和密码。
(4)现在,在 Proxy的历史记录里查找我们刚刚通过登录尝试发出的POST 请求,并将其发送给Intruder。
(5)单击【Clear】按钮,清除预先选择的插入位置。
(6)现在,我们通过突出显示参数的值并单击【Add$】按钮,将位置置于两个POST参数( adminname和password)的值上。
(7)由于我们的密码列表针对所有用户,因此我们选择Cluster bomb作为攻击类型
(8)下一步是在 Intruder中选择我们的输入测试值。转到Payloads 选项卡。
(9)在 Payloads Options [Simple list](选项[简单列表|)部分的文本框中,添加以下名称:
需要注意的是,字典攻击可能需要相当长的时间才能成功,因此需要耐心地等待。此外,字典攻击不是一种保证成功的攻击方式,因此需要尝试不同的攻击方式,以便获得最佳的攻击结果。
(10)现在,从Payload Set框中选择列表2。此列表将是我们的密码列表,我们将使用2017年最常用的25个密码进行此练习( http://time.com/5071176/worst-passwords-2017/)
所使用的密码列表
(11)开始攻击:我们可以看到所有响应似乎具有相同的长度,但是有一个admin / admin组合具有状态303(重定向)和次要长度。如果我们检查它,我们可以看到它是重定向到管理员的主页
原理剖析
至于结果,我们可以看到所有失败的登录尝试得到相同的响应,但是一个状态为200(OK),在这种情况下长度为813个字节,因此我们假设成功的一个必须是不同的,在最小的长度(因为它必须重定向或将用户发送到他们的主页)。如果发现成功和失败的请求长度相同,我们还可以检查状态代码或使用搜索框在响应中查找特定模式。
扫一扫
1593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
