DVWA之暴力登陆后台

发表于: 分类于:
字数: 623 阅读:≈ 2分钟

  • 漏洞类型:弱口令登陆后台

  • 安全级别:Low

  • 目标:通过口令字典,登陆网站后台

前言

现在,假设我们通过扫描网站后台,找到了后台登陆页面 后台登陆页面

但是,我们不知道后台管理员得账号和密码 查看DVWA提供的登陆页面php源码 页面源码

思路

1. SQL注入 2. 暴力猜解用户名/密码

一、SQL注入

服务器没有对user和password进行过滤处理,可能存在sql注入:
username: admin’ and 1=1 – -
password: 123

成功 成功

二、暴力猜解

流程图

流程图

1. Burp抓包

Burpsuit端口及抓取目标筛选

抓包成功

2. 将报文发送至Intruder

将报文发送至Intruder模块

3. 标记暴力猜解的值

先点击“Clear§”清除默认标记
再用鼠标标记报文中username,password后的值,选择"Add§"
请求体中选择用户和密码

4. 选择暴力猜解

选择攻击方式

5. 选择攻击字典

由于是测试,我们已经预知正确的用户名(admin)和密码(password)
所以字典我们手动输入几个无关项即可
可能的用户名

可能的有效密码 通过排列组合,我们获得了12种可能的用户名和密码的组合,用于测试。

6. 开始测试

设置线程(默认5) 其他选项 开始测试 开始测试

7. 成功/尝试登陆

测试结束,可以看到成功和失败,返回的页面中的字节长度是有差异的
Lenght中可以看到正确的组合,所获得的页面返回值不同与其他组合(或长或短)
初步判定,我们找到了正确的用户名和密码
返回结果

对比.png

回到后台登陆页面,输入尝试 验证 成功! 成功登陆后台

心得

这里只是熟悉了暴力破解的过程
真实的情况下,如果不知道可能有效的用户名
是很难通过暴力猜解来登陆后台的
需要花时间通过社工等方式,获取足够多的信息
才能事倍功半,减少不必要的等待时间
或者,另辟蹊径(碰运气)
没准有SQL注入漏洞呢~