使用暴力破解學習burpsuite
暴力破解使用在登錄的地方,首先胡亂輸入查看回傳提示,然后再輸入正確的內容,在查看提示,
以pikachu的暴力破解為例:
錯誤時顯示: username or password is not exists~
正確時顯示:login success
通過這個正確錯誤的演示,可知服務器對登錄成功和登錄失敗的回傳資訊是不同的,因此,我們可以通過這一點尋求暴力破解的正確結果,正確錯誤是不同,正確只有一個,所以爆破時回傳包唯一一個與其他包不同的就是正確包,
暴力破解中,一項非常重要并且離不開的一點就是需要一本好的字典,所謂爆破,就是不停的重復嘗試,直到嘗試到正確結果為止,
暴力破解中可能需要對用戶名和密碼同時進行猜測,可以同時爆破兩項,但是因為太繁瑣并且耗時太長,所以不推薦,
推薦猜測用戶名,常見默認的管理員賬戶等等,通過資訊搜集去看有哪些用戶名
觀察登錄介面的顯示,有時候密碼和用戶名不對,提示的內容也是不一樣的,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/5088.html
標籤:其他
上一篇:報錯型sql注入
下一篇:sql盲注講解
