如何获取管理员账号密码呢?
有时我们想检查某个网站的管理员账号有没有使用弱密码,就要使用一些弱密码来尝试登录网站的管理员账号。如果这样的弱密码是十个、二十个,我们就可以手工去试,但是我们试十次二十次可能还是没有成功登录管理员账号,这时候也不能就这样判断这个网站的管理员账号没有使用弱密码,因为弱密码的种类还是比较多的,比如密码的长度有6位或者8位,密码的构成有纯数字或者纯字母,这些密码的可能性简单的排列组合就有上百种情况。或者,我们压根就想破解这个网站的管理员账号的密码(嘿嘿),这时候我们当然是希望尝试尽可能多的密码。这时候,我们就需要用到自动化的工具来操作刚才描述的手动破解密码的过程。自动化破解工具可以自己写个脚本,也可以选择已有的工具,经过我们已有的尝试,burpsuit就是一款很不错的自动化工具。今天我们就来说说利用burpsuit来进行口令暴力破解的方法。
关于burpsuit,它是一款很强大的渗透测试小软件,有免费版和破解版可用,有兴趣的童鞋可以自行百度。
Burpsuit配置
1、我用的是chrome浏览器,下载SwitchySharp的chrome插件,启用插件后新建情景模式,并配置该情景模式的HTTP代理,如下图中所示,我设置的情景模式名称是burpsuit,配置好后点击保存。
2、设置chrome浏览器使用burpsuit代理。方法是点击浏览器地址栏最右边的SwitchySharp图标,并选择刚才设置好的burpsuit情景模式,如下图所示。
Burpsuit口令暴力破解步骤
1、 打开burpsuit,如下图所示
2、 选一个网站,在登录页面,输入用户名,再随便输入一个密码,比如123456
3、 点击burpsuit上的Interceptis off按钮,按钮变成了intercept is on,如下图所示
4、 返回该网站的登录页面,点击“登录”,这时可以看到burpsuit的图标点亮了,打开burpsuit可以看到网站发送的登录请求信息,如下图所示。
5、 在Raw内容框中点击鼠标右键,选择Sendto Intruder,burpsuit标签页的Intruder标签点亮了。
6、 打开Intruder标签页,Target页已经默认填写了,如下图1所示,Positions页(图2)内点击Clear按钮(图3)。
7、 在Payloads标签页,有几个地方需要设置。Payloads type选择Simple list,Payload Options里,点击Load,选择要打开的字典,点击“Start attack”,开始爆破。
8、 爆破结束后,对爆破结果按照“Length”排序,响应长度与其他不同的那个就是正确密码。如下图所示。
密码字典
网上有很多密码字典可以下载,但最好是自己多总结,总结出有自己特色的密码字典。
如何防止我的网站被别人暴力破解口令呢?
口令暴力破解并不是所有的网站都适用的,网站登录页面有验证码、限制登录失败次数、限制某IP的登录失败次数都会对口令爆破带来困难。所以,为了咱们网站的安全,开发工程师们也要为网站登录页面增加验证码和登录失败等安全举措。
彩蛋
如果网站仅设置了登录失败锁定账户功能,暴力破解是不是就一定无计可施了呢?也不是这样哒,可以定一个密码遍历账户呀~