弱口令
易被猜到的密码 护网、比赛、挖漏洞都有登陆页面
belike
实战
字典
字典:可以使用工具爆破,一个一个对密码,用字典里的密码去试
合格的字典--通用模式(常用)+通用模式(默认)+定制模式-成功率很高
常见密码:
默认密码:不同平台安装后的默认密码--belike:小米盒子,机顶盒,华为盒子
定制模式:关于某人特征信息生成的定制字典 先收集信息
通过自己 fofa fofa.info 或者搜索引擎收集到的信息
社工库:不要搭建对外的社工库-违法
sgk66.cc (违法,千万不要⾃⼰搭建,可以借助信息收集的知识收集)
给定制模式生成字典
获取下载 weakpass-main
靶场本地搭建
打开PHPstudy
MySql导入导出
案例一 BP基础爆破
火狐渗透版,测试版
现在用抓包,就要设置代理
发送到爆破模块
和老师讲的不一样
纠错
爆破右边有一个长度,如果出现大部分都是一个数字的长度大概率都是错的那批
实践了一下那个 654321也是正确密码
前面是单个模式
老师那边
用kali玩一玩
lue
案例二 BP验证码爆破
启动验识别服务
2配置bp
!!!!!!!这个图画错了,,是第二步是扩展设置!!!!!
注意一定英文路径,不要设置中文路径
then 海洋靶场的验证码模块
127.0.0.1/upload 未搭建的靶场just like this
靶场搭建过程
海洋的uplouad下到phpstudy里就行了
然后该页面就能打开了
按照流程走 数据库密码一般都是root
要加入upload才可以哦
保存一下验证码的网址
http://127.0.0.1/upload/include/vdimgck.php
现在要同时爆破密码和验证码
注意要pitchfork的;同理简略如下
配置连接池,请求线程为一
此时
开始攻击
不对,有问题,没跑起来
ctrl+f 查找xiapao-是一个服务吧 没细讲
刚刚跑了一次啥错误都没犯跑不起来,重新设置了一次才跑起来,不知道为什么
右上角在跑,右下角也在跑,左上角也跑,
验证码服务爬虫
bp结合xiapao做验证码的爆破
