-
点击“登录”时出现的是一个彈出窗口,为了找到真正的登录网址我们点击“免费注册”。
-
点击旁边的“登录”随便输入一个账号,密码输入“123456”(先不点击登錄按钮)
-
打开前面的登陆页面,点击“登录”按钮
-
此时我们会在burp暴力破解suite下看见刚刚截取到的数据包。可以看到我们刚刚输入的用户名囷关键字
-
切换到Intruder选项卡下,选择“Target”设置主机地址以及端口号,端口号默认是80假如网站使用的是HTTPS协议的话就勾选下方的“Use HTTPS”切换到443端口(SSL)
-
切换到Positions选项,点击右边的“Clear $”按钮清除所有默认参数。
-
鼠标选中username后边的文字(我们输入的用户名)点击“Add $”按钮。
-
切换到“Options”选项卡下设置线程数和其他参数,如下图所示
-
扫描到差不多的时候,我们按Length(长度)大小排序这是我们会看到几种不同的数据包,许多一样的还有几个数据包很大的基本就是正确的了。
-
选择其中一个较小的数据包点击下方的“Response”,会看见有提示“用户名或密码錯”
-
同理我们再选择一个较大的数据包,这是我们会看见下方并没有提示“用户名或密码错误”,
-
当我再重新打开登录页面时发现已經进不去了
-
初步猜测应该是IP被网站封了所以我们换一个IP登录试试。我用手机流量开热点链接电脑这时再去打开网页时果然显示出来了。
-
输入我们刚刚获得的用户名(这里以merchant为例)以及密码123456然后点击登录。
-
.网络安全确实是个很大的问题所以我们在上网时尽量不要泄露呔多个人的信息。
-
3.在网站注册账号时密码不要设置得太简单因为一些网站对于暴力破解并没有进行特别的防御。
