攻防世界web练习
六、weak_auth(弱授权)
小宁写了一个登陆验证页面,随手就设了一个密码。
设置密码时要谨慎,最好不要含有个人的信息片段且采用字母加数字加符号等复杂性高的数据作为密码。若怕忘记密码则可以专用一个记录本记下(切记这个本子不要遗失)
http://111.200.241.244:60546/
[目标]
了解弱口令,掌握爆破方法
[环境]
windows10专业版
[工具]
burp suite + 字典 + Firefox中的代理插件——foxyproxy
burp suite 的安装与使用教程:
https://www.cnblogs.com/tangsong41/p/16152023.html
[步骤]
1.随便输入一组用户名和密码,提示要用admin用户登录,然后跳转到了check.php,改为admin登录,但不知道密码,则暴力破解
2.用burp suite拦截下登录的数据包,把数据包发送到intruder爆破