前言:
很高兴与大家分享自己的学习心得,刚接触网络安全,可能有些地方的描述不是特别准确,欢迎大家一起讨论、学习!(网安大牛可以忽略本篇了/(ㄒoㄒ)/~~)
实验准备:
本次实验需要用到的工具有Burpsuite、phpstudy、火狐浏览器
靶场搭建:pikachu(该靶场的环境是搭建在我们的phpstudy环境之上)
所以,这些准备工作做好以后,就可以来进行我们的实验了。
实验图片:
这道题目很简单,拿到之后我们直接使用burpsuite进行爆破,在这里,我觉得Burpsuite上面的字典不是很友好,所以本人用python写了个简单字典用于本次实验爆破(0-6所有随机数字组合),大家可以自行选择,之后就可以进行我们的爆破了,没有太多的技术含量而言,但是对于我们这些刚接触网安的小白而言,可谓是惊心动魄,迫不及待想要看到答案(在这里建议大家可以先多花点时间了解了解Burpsuite各个功能模块的大致作用,对于后续我们学习有很大的帮助!)。
接下来进入正题吧!
1、打开burpsuite拦截,拦截我们的请求包:
2、为password打标记
3、设置字典进行爆破(因为只对password进行爆破,所以直接使用Sniper进行爆破),字典使用自行编写的简单字典,根据个人选择,可以自行编写导入,实验所用字典只针对本次实验。
4、接下来呢就要进行紧张刺激的爆破了!
图一
图二
通过图一我们发现红色标记部分有效载荷长度小于其它有效载荷长度,即为我们爆破出来的正确密码,通过图二响应的html我们可以看见,登录成功,即爆破成功!
实验到此也就结束了,有什么不足的地方欢迎大家指出,一起学习、一起进步!