题目:
随意输入用户名与密码后:
打开BurpSuite抓包并用admin为用户名登陆由上图提示猜测需要字典爆破,于是找到对应地址后点击"Send to Intruder"在"position"下选中在页面中填入的密码,点击“clear”,再点击“add" (一定要先点clear啊!!不然最后产生的爆破密码都包含了刚刚在网页内瞎填的那个密码
在payloads中添加密码字典,并点击"Start Attack"
发现“123456”的长度与其它不同,则点击查看“response",得到flag
参考:
1、Burp Suite抓包爆破(如何爆破密码)
2、Burp Suite之Intruder模块
附:常见的弱口令
admin ——太容易猜出
123 ——同上
abcde ——同上
abc123 ——同上
123456 ——由于文化因素极其常用
1234 ——同上
888888 ——同上
1234567890 ——同上
susan ——常见人名
BarackObama ——高知名度人物
monkey ——常见动物名且正好六位
password ——经常被使用,极易猜出
p@$$\/\/0rd ——简单的字母替换,易被黑客软件破译
rover ——宠物的常用名称,也是一个单词
12/3/75 ——日期
nbusr123 ——可能是用户名,如果是这样的话很容易被猜出
asdf ——常用键盘的键排列
qwerty ——常用键盘的键排列
aaaaa ——重复的字母,极易被破解
Taiwan ——地名
administrator ——太容易猜出
