使用暴力破解学习burpsuite
暴力破解使用在登录的地方,首先胡乱输入查看返回提示,然后再输入正确的内容,在查看提示。
以pikachu的暴力破解为例:
错误时显示: username or password is not exists~
正确时显示:login success
通过这个正确错误的演示,可知服务器对登录成功和登录失败的返回信息是不同的。因此,我们可以通过这一点寻求暴力破解的正确结果。正确错误是不同,正确只有一个。所以爆破时返回包唯一一个与其他包不同的就是正确包。
暴力破解中,一项非常重要并且离不开的一点就是需要一本好的字典。所谓爆破,就是不停的重复尝试,直到尝试到正确结果为止。
暴力破解中可能需要对用户名和密码同时进行猜测。可以同时爆破两项,但是因为太繁琐并且耗时太长,所以不推荐。
推荐猜测用户名,常见默认的管理员账户等等,通过信息搜集去看有哪些用户名