暴力破解之绕过登录次数限制,同时根据响应时间判断有效的用户名

最新推荐文章于 2025-02-23 06:51:38 发布
最新推荐文章于 2025-02-23 06:51:38 发布
阅读量8.2k 收藏 46
点赞数 6
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43618066/article/details/109804930
版权
博客介绍了利用burpsuite进行账户密码暴力破解的方法。先根据返回错误消息无法判断有效用户名时,抓包拦截用Intruder暴力破解,通过响应时间判断。还提到设置长密码精确判断,伪造IP绕过登录失败限制,最终成功破解出有效用户名和密码并登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.尝试输入账户密码,根据错误消息判断
我输入了常规的admin和123456口令,发现无法判断是否为有效的用户名
根据返回的错误消息无法判断有效的用户名,这时候需要抓包拦截,发送Intruder进行暴力破解,根据响应时间判断是否为有效的用户名。
二.burpsuite进行拦截登录请求包,发送到Intruder。
在这里插入图片描述
在这里插入图片描述

注意:我的密码设置非常之长,因为有效的密码在后端处理和无效的密码后端处理流程不一样,密码长度越长,响应时间更长,这样就很精确判断出哪个是有效的用户名。

在这里插入图片描述
导入用户名字典之后开始攻击,发现从第三个包开始,发现返回消息说连续三次登录失败,请30分重试。但没关系啊,可以在包头增加X-Forwarded-For:127.0.0.*;伪造访问的IP,

最低0.47元/天 解锁文章
Burp Suite 暴力破解绕过同一账户登录次数
weixin_62860907的博客
08-03 951
诸如此类,最终,我放弃了,我开始想另一种方法,在网上浏览,无意间发现Burp Suite可以使用python脚本语言,我就在想是不是可以让每三次登录然后暂停一分钟,要不然压根无计可施,找寻资料后,我发现它是由JYTHON实现的,于是我登录官网下载了JYTHON的jar包开始导入。代码由gpt生成,我将每三次修改成了每四次停止一次,时间也由60秒修改为65,然后用C语言,在我的密码本上每三行后面添加一行123456。我尝试了网上绕过的各种方法,比如说改ip,就是用bp的鱼叉模式,选中数据包中ip地址。
【业务安全-03】业务逻辑漏洞之暴力破解(Burte Force)
cc
03-22 1553
暴力破解是一种针对于密码或身份认证的破译方法,即穷举尝试各种可能,找到突破身份认证的一种攻击方法。暴力破解是一把双刃剑,一方面能够被恶意者使用,另一方面在计算机安全性方面却非常重要,它用于检查系统、网络或应用程序中使用的弱密码。“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
嘿~ 如何用字典简单爆破web网站限制登录????(非常基础篇)
2301_80077458的博客
07-18 674
添加user部分添加密码部分对文件内容进行编码(因为我们拿取账号密码都是解码,放回去一样反过来)选择base64取消勾选不然破不开设置重定向为总是等待进度完毕查看状态码 200 就是成功然后对编码进行解码解码完毕 账号密码就为这个啦五,验证成功访问到页面当中ps: 纯虚拟机操作,没有攻击性。
【Burp Suite 测试工作流程】
最新发布
D-river博客
02-23 1301
Burp Suite 测试流程
BurpSuite实战
韩束一叶子
05-18 928
实验所属系列:web安全 实验对象:本科/专科信息安全专业 相关课程及专业:网络安全,计算机网络 实验类别:实践实验类。
暴力破解:通过响应时间枚举用户名
anlalu233的博客
08-04 1031
突破IP限制:http请求头中添加X-Forwarded-For头,将该头的value设置为动态参数变化。 使用正常的用户名和密码登录观察响应时间,使用错误的用户名和密码登录观察响应时间。 当用户名错误时响应时间基本一样,当用户名正常时,随着密码的长度越长响应时间越长。 登录请求拦截发送到Burp Intruder,http请求头中添加X-Forwarded-For:192.168.10.1 后面的1添加有效载核 username添加有效载核,password长度设置100个字符以上。 切换到有效
暴力破解服务器ssh登入次数限制
leonnew的博客
09-14 2192
firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.1.2 port port=80 protocol=tcp accept" 单个IP的某个端口。# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.222.222.0/24' reject" IP段。防火墙拉黑攻击IP地址。
Web安全技术大作业-限制同一个账户一段时间内登录次数绕过脚本
y4ung
10-28 5593
0x00 功能说明 限制账户在一段时间内登录失败的次数:如果在该段时间内登录失败的次数超过某个阈值,则禁止登录。这里有几个需要理清楚的:如何定义一段时间, 绕过:慢速撞库的方法,对于同一个账户,可以在短时间内只尝试1次,或者少于网站上限的次数,然后不停的尝试不同的账户,直到尝试完账户字典中所有的账户,再进入下一轮撞库。 0x01 限制账户在一段时间内登录失败的次数 1.1 思路 数据库新增...
Curosr解除次数限制(详细步骤)
斯是陋室,惟吾德馨
02-05 5354
2.删除自动更新文件:%LOCALAPPDATA%\cursor-updater。跳转到下载官网,如下图所示,选择免费的工具,ZIP与7Z两种压缩包格式任选。打开压缩包,运行exe文件,找到cursor,然后右键鼠标,选择“卸载”!下载完成后,双击安装,安装时一直点击下一步即可。1.打开任务管理器关闭所有 Cursor 进程。此时,启动任务管理器,关闭Cursor应用。重启Cursor,完成次数限制的破解!在相同位置创建同名文件(不带扩展名)如果遇见任何问题,欢迎评论留言讨论!输入1,使用禁用自动更新。
07-SQL-登录次数限制--爆破防护
tianxiadiiw的博客
03-18 630
一路修改代码对漏洞进行防护,一路又使用新的手段进行破解,最终只剩下爆破这一个漏洞了,3)每一次登录时,只要用户名是存在的,都需要从数据库里面取得这两个值,从而进行判断。1)需要在数据库中记录某个用户的登录失败的次数,每登录失败一次,则+1。在前述攻防的过程中,我们从最开始写一个简单的登录页面和后台功能开始,2)需要在数据库中记录某个用户最后一次登录时间,用于判断是否接触限制。记录用户常用IP地址区域,如果在不常用区域登录,预警。到发现SQL注入漏洞,万能验证码,爆破等漏洞开始,登录次数限制,并记录IP。
Burpsuite靶场|通过修改密码功能进行暴力破解
TangGo_Nosugar的博客
06-13 1134
上帝给你关上了一扇门,但也会给你打开一扇窗
应对网站的反爬虫措施,绕过验证码与登录限制
反爬虫技术可以通过识别爬虫的特征、限制访问频率、设置验证码等方式来识别和防范爬虫。 #### 1.2 反爬虫技术的主要应用领域 反爬虫技术主要应用于保护网站数据,防范恶意爬虫行为,维护网站正常运行秩序,主要...
浅谈暴力破解及验证码安全
L_lemo004的博客
09-22 4048
文章目录一、暴力破解及验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下问题在验证码的程序实现流程方面可能存在如下问题对抗现状验证码未来可能的主要形式操作验证码安全0x01 验证码可重用0x02 验证码可识别0x03 客户端生成/显示/校验0x04 空验证码绕过0x05 验证码数量有限0x06 是否校验可控0x07 超过次数才开启验证码0x08 验证码可预测身份验证码安全0
burpsuite登录_利用BurpSuite突破JS限制登陆后台
weixin_42101056的博客
02-06 1196
最近测试一个网站,发现同服有一个网站的后台登陆在输入用户名和密码错误以后使用的JS跳转,页面会自动跳转到登陆页面,后台又未验证session之类的,也就是说如果我们突破了JS也就可以直接管理后台了。当然突破JS的方法比较多,比如以前使用firefox浏览器本身的功能就有禁用JS的功能,但是禁用JS以后,后台的很多功能是无法使用的,这就需要我们找一个工具来实现禁用一小部分js代码的功能,比如去掉跳转...
解除网页限制只需三句话
weixin_43824520的博客
03-17 1万+
通常直接按F12,如果此键被禁止可以通过SHIFT + CTRL + I打开,或者通过浏览器菜单里面的“开发人员工具”。 选择控制台,输入以下代码回车即可。 // 开启文字选择 document.onselectstart = function(){ return true; }; // 开启复制 document.oncopy = function(){ return true; }; // 开启粘贴 document.onpaste = function(){ return true; };..
【安全】【测试思路】基于Burpsuite工具中的intruder执行暴力破解
次次次不吃饼干_的博客
04-19 888
基于Burpsuite工具中的intruder执行暴力破解 测试工具 序号 工具 版本 备注 1 JDK环境 1.7及以上 burpsuite工具运行所需 2 Burpsuite 1.4及以上 请根据个人情况,选择Community或Professional版本 常规暴力破解   对于一般或中小型项目软件来说,用户进行登录操作时,发送的鉴权请求可能只有一条,即:以用户账号、...
Burpsuite靶场|使用成功登录破除IP限制暴力破解密码
TangGo_Nosugar的博客
05-29 2182
Burpsuite靶场|使用成功登录破除IP限制暴力破解密码
用户登录错误次数太多锁定账号
Think
06-25 974
每次用户登录时,通过 rangeByScore 查询对应的限制时间范围内错误的的次数,如果次数超过阈值,则限制登录。key可以设置为用户名,value可以设置为UUID,score设置为当前时间戳。当用户登录验证码错误次数太多时,需要限制用户在10分钟之内不能再次登录。1.通过Redis ZSet。
1、使用BurpSuite暴力破解登录密码
热门推荐
D516701881的博客
12-17 1万+
1、使用BurpSuite暴力破解登录密码1.环境准备1.1 PC端设置BurpSuite设置代理1.2.靶机环境2.密码破解漏洞2.1.漏洞简介2.2.常见应对策略2.2.1.强密码策略2.2.2.验证码策略2.2.3.锁定策略2.2.4.加密策略2.2.5.TOKEN验证码3.密码破解攻击3.1.环境配置3.2.抓包3.3.配置攻击3.3.1.攻击类型3.3.2.目标字段3.3.3.有效载荷3.3.4.选项配置3.4.执行攻击 1.环境准备 1.1 PC端设置BurpSuite设置代理 打开BurpSu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值