任务一:内外网其他的互联方式
(1)双网卡连接:通过在电脑上增加一块网卡,实现双网卡连接,一块网卡连接外网,另一块网卡连接业务专网,从而实现内外网同时连接,互不影响。这种方法适用于笔记本电脑无法安装双网卡的情况,可以使用USB网卡来实现
(2)双IP方案:通过将内外网直接连通,将内网、外网都接入同一个交换机上,电脑网线接入交换机中,实现物理连接。在电脑上设置双IP来实现内外网同时连接。这种方法需要在系统的网络共享中心打开本地连接属性,设置IPV4版本,并在ip地址设置窗口中分别设置外网和内网的IP参数
(3)使用特定软件:如花生壳,这是一款免费的软件,通过简单的操作步骤,可以实现内外网的资源互通。花生壳通过映射内网地址到外网地址,使得外部用户可以访问内网部署的应用或服务
任务二:Java环境安装成功截图
打开终端,输入指令“java -version”查看java版本号,查看结果如下,安装成功
Python环境安装成功截图
打开终端,输入指令“python --version”查看python版本,结果如下图所示:
任务三:pikachu弱口令爆破
第一关,打开后界面如下:
随便乱输,提示用户名或者密码不存在,现在使用burpsuite进行抓包
开启burpsuite的拦截,随便输入用户名密码,点击login
查看burpsuite,已经抓到请求包
发送到攻击模块
清楚参数位置,查看图中参数如图:
只保留用户名username和密码password,爆破用户名和密码,同时选择攻击类型cluster bomb,将用户名两两组合进行爆破。
选择payload set为2,导入词典,如图:
开始攻击,结果的筛选看长度,长度不同的一般是爆破成功了的(回显不一样),破解出来账号为admin,密码为123456,如图:
输入正确的账号密码,登录验证,显示“login success”
再用burp suite抓包正确账号秘密登录的页面,发送到repeater,看到显示登录成功如图:
第二关:
验证码绕过(on server)
网页端检测发现,验证码输入错误时显示如图:
验证码为空时显示,显示如图:
输入正确的验证码进行抓包爆破,如图:
发送到intruder,进行爆破用户名和密码,将其他参数去掉,只留下用户名密码:
这样就可以不用绕过验证码进行密码爆破,如图:
验证码绕过(on client)
尝试输入,发现验证码输入错误弹窗,说明验证写在了前端的js代码里:
禁用js,如图:
发现不用输入验证码也可以进行登录,如图,这样就绕过了验证码,然后用bp进行抓包,再进行第一关的操作爆破用户名密码
3745
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
