学习Pikachu之暴力破解(无验证码)
一、定义:
暴力破解是指连续性尝试+字典+自动化
字典:
1、常用的账号密码
2、网上已泄露的账号密码
3、用特定字符按照指定的规则进行排列组合生成的密码(如:姓名+生日)
(注:如果网站没有对登录接口实施防爆力破戒的措施,或实施不合理的措施,则该网站有暴力破解漏洞,尽管暴力破解成功率不是100%,也应注意防范!)
二、实验环境:
Firefox浏览器,burp suite工具,靶机系统Pikachu,PHP study
三、Burp Suite功能基础介绍:
1、Proxy:监听端口,处理浏览器
2、Intruder:改变变量,用于暴力破解,设置攻击目标,选择攻击模式。
①Sniper:狙击手,默认每次只能有一个变量进行攻击。
②Battering ram:冲撞车。可选多个变量同时替换,但都只用同一个字典。
③Ptichfork:草叉型,可选多个变量,每个变量一个字典,然后一一对应实验。
④Cluster bomb:焦束炸弹,可选多个变量,每个变量一个字典,然后交叉组合进行实验。(此模式成功率最大)