准备工具:Pikachu靶场、Burpsuite、爆破字典、Edge浏览器。
0x01 基于表单的暴力破解
首先打开这个项目页面,遇到这种登录的呢、就是先把用户名和密码随便输入进去,然后抓包。这里我们随便输入一个账户名123456/123456
然后打开你的Burpsuite前提是你Burpsuite的代理要和你浏览器的代理一样才可以拦截数据包。具体教程查看我另一个Burpsuite教程。也可以加QQ群332461208里面,群主可以手把手教你。
先打开拦截如图所示,蓝色即为打开,然后第二不,输入账户密码点击登录。
Burpsuite抓包页面,鼠标右键任意地方,点击Send to intruder 快捷键为 Ctrl+i
分别选中账户和密码分别添加Payload
添加结果如上图所示
设置攻击模式为集束炸弹模式 Cluster Bomb
然后我们点击上方Payload
我们首先设置第一个Payload也就是用户名,选择列表类型,然后我们加载自己的用户名字典,这里的字典用的是简单版字典,方便演示
加载第二个Payload也就是密码字典
全部设置完之后我们点击右上角的Start Attack,开始攻击(PS:这里如果有大量的字典的话跑得慢可以设置线程如下面第二个图所示)
我们看到有一个长度为34990的账户密码与其他的长度不相符(这里可以通过长度大小判断),说明很大可能是正确的账户名密码。我们回去试一试。
如下图所示已经登录成功,这就是最基础的暴力破解方式。
喜欢的朋友们欢迎点个关注支持一下作者,也欢迎大家来我的QQ群一起学习网络安全相关知识吧
QQ群号332461208