E054-web安全应用-Brute force暴力破解进阶

课程名称:

E054-web安全应用-Brute force暴力破解进阶

课程分类:

web安全应用

实验等级:

中级

任务场景:

【任务场景】

小王接到磐石公司的邀请,对该公司旗下的网站进行安全检测,经过一番检查发现该网站可能存在弱口令漏洞,导致渗透者通过暴力破解登录后台。为了让公司管理人员彻底的理解并修补漏洞,小王用DVWA情景再现。

任务分析:

【任务分析】

弱口令常常是人的疏忽造成的,有的人会图方便就把密码设置得很简单,这样会导致渗透者通过暴力破解的方式把密码给破解出来。

预备知识:

【预备知识】

通过Burp抓取登录的请求包,然后通过字典对登录点进行一一尝试,根据返回的字节判断,哪个密码是正确的。

---------------------------------------------------------------------------------------------------------------------------------

任务实施:

E054-web安全应用-Brute force暴力破解进阶

任务环境说明:

服务器场景:p9_kali-2(用户名:root;密码:toor)

服务器场景操作系统:Kali Linux

服务器场景:p9_ws03-3(用户名:administrator;密码:123456)

服务器场景操作系统:Microsoft Windows2003 Server

---------------------------------------------------------------------------------------------------------------------------------

网络结构拓扑

E054-web安全应用-Brute force暴力破解进阶_第1张图片

---------------------------------------------------------------------------------------------------------------------------------

实战复现

        打开火狐浏览器,在地址栏输入靶机的地址访问网页,使用默认用户名admin密码password登录:

E054-web安全应用-Brute force暴力破解进阶_第2张图片

在DVWA页面点击“DVWA Security” 选择难易程度为“Medium”,然后点击“Submit”提交

E054-web安全应用-Brute force暴力破解进阶_第3张图片

在导航栏点击Brute Force进入登陆框页面:

E054-web安全应用-Brute force暴力破解进阶_第4张图片

        打开浏览器代理:工具——选项——高级——网络——连接——设置——手动配置代理,IP地址设置为127.0.0.1,端口设置为8080(Burp默认代理端口为8080)

E054-web安全应用-Brute force暴力破解进阶_第5张图片

E054-web安全应用-Brute force暴力破解进阶_第6张图片

打开Burp:选择Proxy——Intercept——Intercept on,打开代理

burpsuite

E054-web安全应用-Brute force暴力破解进阶_第7张图片

E054-web安全应用-Brute force暴力破解进阶_第8张图片

E054-web安全应用-Brute force暴力破解进阶_第9张图片

E054-web安全应用-Brute force暴力破解进阶_第10张图片

E054-web安全应用-Brute force暴力破解进阶_第11张图片

实验结束,关闭虚拟机。

你可能感兴趣的:(Web安全,省技能大赛模块,网络安全体系,php,开发语言,web安全,爬虫,flask,网络攻击模型,安全威胁分析)