新浪微博:@亵亵亵亵亵亵亵亵。
切换到代理选项卡上的选项选项,并设置代理地址和端口:127.0.0.1:8080。
启动您刚刚设置的代理。
打开InternetProperties,选择:连接-局域网设置-代理服务器。分别输入127.0.0.1和8080。如图所示。
查找目标URL。
当我们点击“登录”时,会出现一个弹出窗口。为了找到真正的登录网站,我们点击“免费注册”。
点击旁边的“登录”,随意输入一个账号,输入“123456”作为密码。(先不要点击登录按钮)
选择Proxy选项卡下的“Intercept”选项,点击“Interceptisoff”按钮,按钮将变为“Interceptison”。
打开之前的登录页面,点击“登录”按钮。
此时,我们将看到刚刚在Burpsuite下截获的数据包。您可以看到我们刚刚输入的用户名和关键字。
右键单击文本区域并选择“SendtoIntrder”
切换到入侵者选项卡,选择“目标”,并设置主机地址和端口号。默认端口号是80。如果网站使用HTTPS协议,请选中下面的“使用HTTPS”以切换到端口443 (SSL)。
切换到仓位选项,点击右边的“Clear$”按钮,清除所有默认参数。
选择用户名(我们输入的用户名)后面的文本,然后单击“Add$”按钮。
切换到“有效载荷”选项,并选择要使用的“有效载荷类型”。这里我们选择“简单列表”。
在下面的“Addfromlist”中选择一个密码,这里我们选择“8个字母单词”。
切换到选项选项卡,设置线程数量和其他参数,如下图所示。
点击菜单栏中的“入侵者”,选择“开始攻击”。
当扫描快完成时,我们按长度排序。这就是我们会看到几个不同的数据包,很多都是一样的,有几个很大,基本上是正确的。
选择其中一个较小的数据包,点击下面的“响应”,会看到“用户名或密码错误”的提示。
同理,我们选择一个更大的数据包,也就是会看到底部没有“用户名或密码错误”。
当我重新打开登录页面时,我发现我进不去了。
初步猜测是IP被网站屏蔽了,我们试试用另一个IP登录。我用手机流量打开一个热点链接到电脑上,再打开网页的时候真的显示出来了。
输入我们刚刚得到的用户名(这里以商户为例)和密码123456。然后点击登录。
成功登录
:
特别提示
.网络安全确实是个大问题,所以上网的时候尽量不要透露太多的个人信息。
3.在网站注册账号的时候不要把密码设置的太简单。因为有些网站对暴力破解没有特别的防御。
