目录
3. 打开Burp Suite自带的Chromium浏览器并登录靶场中的WackoPicko靶机
6. 现在,在Proxy的历史记录里查找刚刚通过登录尝试发出的POST请求,并将其发送给Intruder。
7. 在Intruder/Positions中单击【Clear§】按钮,清除预先选择的插入位置。
8. 现在,通过突出显示参数的值并单击【Add§】按钮,将位置置于两个POST参数(adminname和password)的值上。
9. 由于密码列表针对所有用户,因此选择Cluster bomb作为攻击类型:
10.下一步是在Intruder中选择输入测试值。 转到Payloads选项卡。 在Payload sets中的payload set的参数选择1,payload type选择simple list
11.在Payload settings[Simple list]中,Add对话框处添加以下名称,输入一个点一次Add。
12. 用户名手动输入完毕了,下一步,从Payload Set框中选择列表2。 此列表将是密码列表,将使用2017年最常用的25个密码进行此练习 :
概述
当应用程序管理的信息不被公开时,需要一种机制来验证是否允许用户查看某些数据,这称为身份验证。
当今web应用程序中最常见的身份验证方法是用户名(或标识符)和密码。
HTTP是无状态的协议,这意味着它的每个请求都是独一无二的,因此应用程序还需要一种方法来区分来自不同用户的请求,并允许它们执行可能需要由同一用户执行的一系列请求和同时连接的多个用户执行的任务。这称为会话管理。
尽管Token令牌(包含在每个请求的授权头中发送的用户标识信息的值)在某些类型的应用程序中日益流行,例如后端web服务,cookie中的会话标识符是现代web应用程序中最常用的会话管理方法。
在本章中,将介绍检测web应用程序身份验证和会话管理中一些最常见漏洞的过程,以及攻击者如何滥用这些漏洞以获得对受限制信息的访问。
6.5 使用Burp Suite对登录页面进行字典攻击
一旦获得了目标应用程序的有效用户名列表,就可以尝试爆破攻击,爆破攻击过程中会尝试密码所有可能的字符组合,直到找到有效的密码。
考虑到大量的字符组合以及客户端和服务器之间的响应时间,因此暴力攻击在Web应用程序中是不可行的。 一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。 在本文中,将使用BurpSuite Intruder尝试对登录页面进行字典攻击。
将使用WackoPicko admin section login来进行此次攻击实验:
1. 开启OWASP BWA靶场
如图所示,我靶机IP为192.168.17.130
2. 在物理机中开启Burp Suite
这个实验可以使用kali linux中的Burp Suite Community版本来做,也可以使用windows 10(物理机)系统下的Burp Suite Professional来做。
3. 打开Burp Suite自带的Chromium浏览器并登录靶场中的WackoPicko靶机
4. 点击http://192.168.17.130/WackoPicko/页面下方中间的Admin就可以浏览到http://192.168.17.130/WackoPicko/admin/index.php?page=login
点击Admin后跳转到下面这个页面
5. 将看到一个登录表单。 尝试测试用户名和密码。
我尝试的用户名是root,密码是kali
然后 在kali里打开burpsuite插件