使用暴力破解学习burpsuite
使用暴力破解学习burpsuite
暴力破解使用在登录的地方,首先胡乱输入查看返回提示,然后再输入正确的内容,在查看提示。
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。以pikachu的暴力破解为例:
错误时显示: username or password is not exists~
正确时显示:login success
通过这个正确错误的演示,可知服务器对登录成功和登录失败的返回信息是不同的。因此,我们可以通过这一点寻求暴力破解的正确结果。正确错误是不同,正确只有一个。所以爆破时返回包唯一一个与其他包不同的就是正确包。
暴力破解中,一项非常重要并且离不开的一点就是需要一本好的字典。所谓爆破,就是不停的重复尝试,直到尝试到正确结果为止。
暴力破解中可能需要对用户名和密码同时进行猜测。可以同时爆破两项,但是因为太繁琐并且耗时太长,所以不推荐。
推荐猜测用户名,常见默认的管理员账户等等,通过信息搜集去看有哪些用户名
观察登录接口的显示,有时候密码和用户名不对,提示的内容也是不一样的。
更多精彩