1.内外网互联的方式
DMZ(隔离区):通过设置一个DMZ,将内外网分开,同时在DMZ中部署能够处理外部请求的服务器。这样,外部用户可以通过DMZ访问特定服务,而不会直接接触内网。
隧道协议:如IPsec、GRE等,创建一个加密的“隧道”用于在公网中传输内网数据。这种方式可以增强数据传输的安全性。
2.python和java的安装成功截图
3.pikachu第一关爆破
3.1前置准备
3.1.1启动phpstudy
3.1.2将pikachu放在www文件夹下
3.1.3打开pikachu,
3.1.4将burpsuit的拦截打开,刷新网页
可以看到网页一直在加载,说明数据包以成功拦截
3.1.5在burpsuit上可以看到拦截到的数据包,可以选择forward(放行)或drop(丢弃)
3.2 Proxy复现
3.2.1将拦截打开,在pikachu上随便输入用户名密码,可以看到拦截的数据包包含的账户名和密码
3.2.2选择放行,可以看到显示用户名或密码不存在
3.2.3再次登录,使用正确的用户名和密码
可以看到登录成功
3.3 Repeater复现
3.3.1同上拦截数据包,选择发送到repeater
3.3.2将错误的登录密码的数据包发送到服务器查看回应,在Render中可以看到登录失败
3.3.3将正确的登录密码的数据包发送到服务器查看回应,在Render中可以看到登录成功
3.4 Intruder复现
3.4.1同上拦截数据包,选择发送到Intruder
集束炸弹爆破
3.4.2将用户名和密码添加为变量进行爆破,使用集束炸弹模式,设置两参数的payload
3.4.3点击start attack开始爆破,查看爆破结果
结果显示前3为正确的用户名和密码
狙击手爆破
3.4.4同上拦截数据包,选择发送到Intruder,选择狙击手模式
3.4.5固定一个正确的用户名,爆破对应密码,设置payload
3.4.6密码为000000的登录成功,爆破完成
交叉爆破
3.4.7同上拦截数据包,选择发送到Intruder,选择交叉爆破模式
3.4.8配置用户名和密码的参数
3.4.9点击start attack,结果显示如下
结果表明爆破成功