Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)

密码爆破简单来说,就是使用密码本(记录了若干密码),用工具(手工也可以,if you like...)一条条读取密码本中的密码后发送登录请求,遍历密码本的过程中可能试出真正的密码。

本文学习在已知登录名的情况下,使用Burp Suite破解密码的过程,对于一个初学者来说,Burp Suite使用起来比较恼火,所以我把操作步骤详细记录下来了。

 

还是DVWA,先设置security=low,密码输入错误和正确时,页面下方会给出相应提示:

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第1张图片   Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第2张图片

破解过程如下:

 1. 首先我们去网上下个密码本(github上就很多),命名为:password.lst,密码本长这样:

   Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第3张图片

 2. 用Burp Suite抓登录请求,把抓到的请求放到Intruder里面

   Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第4张图片

3. 在Positions面板看到,我们只需要设置password一个参数作为爆破对象,账号名就是admin

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第5张图片 

----------------------------------------------------

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第6张图片

4.在Payloads面板加载密码本并开始爆破

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第7张图片   

----------------------------------------------------

      Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第8张图片

----------------------------------------------------

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第9张图片

 

 5.结果面板中有一条请求的Length和其他请求的Length不一样,这个就是真正的登录密码

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第10张图片

 

接下来设置security=high,high模式下多了一个token,token放在隐藏input的value中,如果再用low模式的爆破方法就不行了,因为token是变化的,这个时候需要绕过token。

破解过程如下:

1. 设置宏,目的是让Burp Suite自动生成token

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第11张图片

找到token所在的web页面:

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第12张图片

----------------------------------------------------

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第13张图片

----------------------------------------------------

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第14张图片

2.设置rule

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第15张图片

----------------------------------------------------

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第16张图片

----------------------------------------------------

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第17张图片

 

3.设置rule的生效scope

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第18张图片

将dvwa的域名加到scope里面:

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第19张图片

4.爆破设置

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第20张图片

 

 ----------------------------------------------------

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第21张图片

----------------------------------------------------

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第22张图片

----------------------------------------------------

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第23张图片

----------------------------------------------------

 Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第24张图片

5. 如果宏设置成功,请求应该返回200而不是302,下图中的每一个请求的token都是不一样的:

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第25张图片

----------------------------------------------------

Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)_第26张图片

 

 

一点点感悟:

1. 虽然理论上来说,只要密码本够强大时间够多,密码被破解只是时间问题,因此建议使用强密码,越强越好~

2. 比起token,随机图片验证码更靠谱

3. 多次密码错误就锁用户(虽然这种操作也会带来副作用)

 

如需转载,请注明出处,这是对他人劳动成果的尊重~

你可能感兴趣的:(Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite))