弱口令爆破
今天与大家分享的是弱口令漏洞和验证码绕过,想必大家对弱口令是什么比较感兴趣,请看大屏幕
弱口令是指的是仅包含简单数字和字母的口令,例如"123"、"abc"等,因为这样的口令很容易被别人破解,从而使用户的账号或者网站面临风险,因此不推荐使用。好多学校平台中教务系统学生账号的密码就属于弱口令
,比如用学号中的数字命名,(仅是讲解弱口令用于大家好理解,可不要去尝试破解,那基本离入门到入狱就不远了)
常见弱口令
简单的数字集合:
000000
111111
123456
112233
12345678
6666666
顺序字符集合:
abcdefg
abcde
abc123
aaa111
qwerty
临近字符数字集合:
123qwe
1234qwer
890uio
1qaz
特殊含义组合:
admin
root
password
就列举怎么多,大家可以对照键盘找规律。
web登录界面密码爆破
我基于pikachu靶机平台进行演示
1,打开在本地搭建好的pikachu系统,选择基于表单的暴力破解
## 尝试登陆,登陆失败
要是成功就尴尬了
2,用burpsuite抓取数据包
发现输入的用户名和密码,右边是返回的页面代码,不要眨眼,往下看
3,导入repeater模块
我们尝试手动改写密码 send 看右面页面反馈,发现还是错误,直接上大刑
开始导入我们的密码本
4,导入intruder模块
绿色的高亮都是变量,我们只针对密码进行爆破,先点击右边的clean 清除高亮,然后点选中密码,点击add
5,开始攻击
选择弱口令模式,添加密码本
然后点击start attack
6,爆破成功
成功撞击出密码,123456,密码果然很low