前言,为了帮助学习网络安全的朋友学习渗透测试 , 绕过验证码,破解用户名和密码,登录管理后台 。
绕过验证码登陆
【渗透测试绕过验证码登录,破解登录用户名和密码】准备环境
- https://hack.zkaq.cn/ 封神台在线靶场中在线靶机大米CMS后台管理 (aqlab.cn)
- 火狐浏览器
- 封神台提供的字典
- 抓包工具 burp suite
- 封神台靶场
2.字典,这个字典包是在线靶场提供的,大家复制下来放到,txt文档中就可以了 。注意在导入字典时如果是乱码,考虑命名是否是中文就可以了 。
3.burp拦截 。burp的安装和破解我就不总结发文了 , 大家可以自行搜索 。我在这里只是说明注意事项 。其中的拦截请求是可以开关的 。当想让火狐浏览器正常访问网页时就可以把他关闭了 。这样火狐浏览器就可以正常访问了 。注意设置的代理地址burp的默认是127.0.0.1,端口默认是8080.
4.测试没有校验验证码,,在拦截到登录请求后,点击右键 。repeat发包 。就会到这个界面 。然后在这个界面修改登录密码和用户名 。发现后台都不校验验证码的 。这是一个关键点 。所以我们可以用跑包破解用户名和密码的方式来登录 。
5.跑字典登陆,当返回状态码是302时证明登录密码破解成功 。这个界面也是从代理的哪个界面过来的 。点击上一个界面的行动然后到这里 。把用户名和密码变成可以配置的参数 。然后倒入字典 。大概试了3800次 。破解成功 。返回状态码是302就对了 。
最后祝大家身体健康,快乐学习 。