使用Burp Suite对登录页面进行字典攻击
前言
- Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
- Burp Suite的功能:
: web代理(proxy)
: request repeater(请求中继)
: fuzzer(模糊测试)
: request automation(自动化请求)
: string encoderand decoder(字符串编解码)
: vulnerability scanners(漏洞扫描,在专业版)
: plugins to etend its functionality(插件扩展)和其它非常有用的功能。 - 一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,暴力攻击在Web应用程序中是不可行的。
- 一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。在本文中,我们将使用BurpSuite Intruder尝试对登录页面进行字典攻击。
实战演练
使用WackoPicko管理部分登录来测试此攻击:
1. 开启kali靶机和OWASP BWA靶机
如下图所示,OWASP BWA的靶机IP是192.168.80.135
2. 登录WackoPicko
打开Burp Suite自带的Chromium浏览器并登录靶场中的WackoPicko靶机
3. 这里我用kali的火狐浏览器访问:
http://192.168.22.130/WackoPicko/
点击页面下方的Admin
<