1.暴力破解使用的平台:Pikachu
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。类型列表包含:Burt Force(暴力破解漏洞) XSS(跨站脚本漏洞)CSRF(跨站请求伪造) SQL-Inject(SQL注入漏洞) RCE(远程命令/代码执行) Files Inclusion(文件包含漏洞) Unsafe file downloads(不安全的文件下载) Unsafe file uploads(不安全的文件上传) Over Permisson(越权漏洞) ../../../(目录遍历) I can see your ABC(敏感信息泄露) PHP反序列化漏洞 XXE(XML External Entity attack) 不安全的URL重定向 SSRF(Server-Side Request Forgery)……
2.概述
暴力破解是一种常见的网络安全攻击方法,它利用计算机程序自动尝试大量的密码组合来破解密码。 这种攻击方法通常用于获取未经授权的访问权限,如入侵网络系统或个人账户。简单的说暴力破解就是用可能是密码的字符挨个试,直到成功。
3.靶场:Brup Suite Professional抓包工具
4.1基于表单的暴力破解
这是一个很基本的练习题,直接使用burpsuite攻击器重新发报文挨个尝试password跟username以此来获得正确的登录
找到length长度与其他密码不同的,依次试用用户名与密码,直到下方出现login success方才进入成功。这一步骤十分简单。