前言,為了幫助學習網絡安全的朋友學習滲透測試,繞過驗證碼,破解使用者名和密碼,登入管理背景。
繞過驗證碼登陸
準備環境
- https://hack.zkaq.cn/ 封神台線上靶場中線上靶機大米CMS背景管理 (aqlab.cn)
- 火狐浏覽器
- 封神台提供的字典
- 抓包工具 burp suite
操作過程
- 封神台靶場
2.字典,這個字典包是線上靶場提供的,大家複制下來放到,txt文檔中就可以了。注意在導入字典時如果是亂碼,考慮命名是否是中文就可以了。
3.burp攔截。burp的安裝和破解我就不總結發文了,大家可以自行搜尋。我在這裡隻是說明注意事項。其中的攔截請求是可以開關的。當想讓火狐浏覽器正常通路網頁時就可以把他關閉了。這樣火狐浏覽器就可以正常通路了。注意設定的代理位址burp的預設是127.0.0.1,端口預設是8080.
4.測試沒有校驗驗證碼,,在攔截到登入請求後,點選右鍵。repeat發包。就會到這個界面。然後在這個界面修改登入密碼和使用者名。發現背景都不校驗驗證碼的。這是一個關鍵點。是以我們可以用跑包破解使用者名和密碼的方式來登入。
5.跑字典登陸,當傳回狀态碼是302時證明登入密碼破解成功。這個界面也是從代理的哪個界面過來的。點選上一個界面的行動然後到這裡。把使用者名和密碼變成可以配置的參數。然後倒入字典。大概試了3800次。破解成功。傳回狀态碼是302就對了。
最後祝大家身體健康,快樂學習。