1、概述
你有没有想过,要是你的密码被人一个个 “试” 出来了,会怎么样?在网络世界里,这可不是天方夜谭,这种攻击手段就叫做穷举攻击。穷举,简单来说,就是把所有可能的组合都试一遍。如今,不管是登录社交账号、网上银行,还是各种软件服务,都离不开密码。而密码的强度参差不齐,大致分为弱口令、中度口令和强口令。要是用 “123456”“password” 这种简单密码,就像家门没锁好,黑客很容易就能试出密码。一旦得逞,他们就能随意登录,窃取信息、篡改数据,甚至控制整个系统。
2、靶机的配置
2.1、靶机资源下载
在本次渗透测试中,我们需要两台均安装 Windows Server 2012 R2 系统的虚拟机。这两台虚拟机上都部署了网站,目的是让攻击者尝试通过域名访问这些部署在电脑上的网站。其中,一台虚拟机采用更改 hosts 文件的方式,实现对网站的访问;另一台则通过配置 DNS 服务,达成网站访问的效果。(靶机密码见文件中的文档)
靶机资源:pan.baidu.com/s/1GG8Z_gSI…
2.2、靶机详细设置
2.2.1、更改 hosts 文件方式(12server-1)
- 网络适配器使用NAT模式,点击网络适配器即可更改。
- 将IP改为自动获取。
- 找到12server-1的IP地址。
- 将本机中的host文件打开,添加3条记录。注意:方框中的IP是自己虚拟机的IP。
- 测试访问网站,使用浏览器输入相应的网址就可以进行访问了。
2.2.2、配置 DNS 服务方式(12server-2)
- 网络适配器使用桥接模式,点击网络适配器即可更改。
- 将IP设置为自动获取,DNS服务器的地址设置为本机的IP地址(使用ipconfig命令查看)
- 找到DNS服务,将正向查找区域中的A记录里面的IP地址改为本机的IP地址。
只要是主机A类型的,全部点开将里面的IP改为自己虚拟机的IP。
- 更改主机DNS服务器的地址为虚拟机的IP地址,使用虚拟机的DNS服务来进行域名解析。注意:要将主机的IPV6服务关闭,只开启IPV4服务。
- 测试,使用浏览器访问网站。最好使用Inprivate窗口访问。
访问到此页面说明设置成功,没有成功的可以多试几次,看看是不是DNS服务器的IP地址或者IP地址填错了。
这个系列将持续更新,下一章将讲述burpsuite穷举后台密码。
