在网上搜找目标登录窗口时,发现一个有意思的网站:
因为也有账号未注册的提示消息,那么意思就是登录的反馈信息会暴露账号,不仅“admin”存在,admin1、admin2一直到admin9999都有,而且admina adminb……统统存在。。
使用BP爆库攻击试试吧。
在昨天的基础上同样设置代理时,发现无法拦截上网登录包,原来是https搞的鬼。
所以进行以下安装数字证书的操作:
登入localhost://burp
代理设置:
证书的使用:
再次登录进行拦截:
发送至intruder,进行操作后如下:
设置用户名和密码散列值的list:
为尽快实现效果,博主用邮箱创建了一个账号,把散列值和账号分别放入,进行攻击:
本次存在三种情况,一种是密码错误导致失败(Length=445),账号不存在(Length=330),还有就是登录成功了
找到其中长度不同的即为登录成功的
选择一个,登录试试。
虽然最后被手机验证拦截了,但在技术上来说,是成功了。