课程名称:
E054-web安全应用-Brute force暴力破解进阶
课程分类:
web安全应用
实验等级:
中级
任务场景:
【任务场景】
小王接到磐石公司的邀请,对该公司旗下的网站进行安全检测,经过一番检查发现该网站可能存在弱口令漏洞,导致渗透者通过暴力破解登录后台。为了让公司管理人员彻底的理解并修补漏洞,小王用DVWA情景再现。
任务分析:
【任务分析】
弱口令常常是人的疏忽造成的,有的人会图方便就把密码设置得很简单,这样会导致渗透者通过暴力破解的方式把密码给破解出来。
预备知识:
【预备知识】
通过Burp抓取登录的请求包,然后通过字典对登录点进行一一尝试,根据返回的字节判断,哪个密码是正确的。
任务实施:
E054-web安全应用-Brute force暴力破解进阶
任务环境说明:
服务器场景:p9_kali-2(用户名:root;密码:toor)
服务器场景操作系统:Kali Linux
服务器场景:p9_ws03-3(用户名:administrator;密码:123456)
服务器场景操作系统:Microsoft Windows2003 Server
网络结构拓扑
实战复现
打开火狐浏览器,在地址栏输入靶机的地址访问网页,使用默认用户名admin密码password登录:
在DVWA页面点击"DVWA Security" 选择难易程度为"Medium",然后点击"Submit"提交
在导航栏点击Brute Force进入登陆框页面:
打开浏览器代理:工具------选项------高级------网络------连接------设置------手动配置代理,IP地址设置为127.0.0.1,端口设置为8080(Burp默认代理端口为8080)
打开Burp:选择Proxy------Intercept------Intercept on,打开代理
burpsuite
实验结束,关闭虚拟机。