Brute Force(暴力破解)

最新推荐文章于 2025-02-04 11:09:38 发布
原创 最新推荐文章于 2025-02-04 11:09:38 发布 · 6.9k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #brute force #dvwa #暴力破解

Brute Force(暴力破解)

前言

主要针对dvwa的Brute Force做一个练习,学习了解Brute Force。
主要会用到brupsuite和hydra两个工具。

练习

Low

可以看到下面是暴力破解的界面,但看到这个界面我第一反应是先尝试sql注入(最近在一个靶场练习,里面有道sql注入也是这种用户登录,而且暂时还没搞定…,后面搞定再写篇博客讲讲菜鸡的辛酸泪…),言归正传,我们还是先尝试暴力破解,然后再试下sql注入
在这里插入图片描述

暴力破解我知道的工具是hydra,然后我看到有博客用的burp两个我都试下吧
先使用下burp吧
burp先要抓包
在这里插入图片描述
抓到包后右键,选择send to intruder
然后就可以看到上面的菜单栏intruder变成红色了,点击进入intruder界面
首先是Target界面,填写网站ip和port,如果是https勾选上选框
在这里插入图片描述

第二个界面Positions ,先说下面的http报文,这里是要选择攻击的位置,把要攻击的字段选中
比如username后面的1就前后用$包起来,旁边的add,clear,auto,都很好理解,可以自己试下
在这里插入图片描述

上面的type有4种类型

1.Sniper

这里是依次拿字典去替换其中的一列,比如上面我们选中的username和password。这里会保持其中一个为我们的输入值,而字典替换另一个值
在这里插入图片描述
可以看到上面的图position表示位置,1就表示username,2就是后面的password。后面的payload就表示替换前面位置的值

2.Battering ram

这个也是只需要一个字典,遍历字典,每次用遍历的值替换所有位置(字典有n个值得话就会攻击n次)
在这里插入图片描述
3.Pitchfork

这个是有多个字典,根据你选择的攻击的位置的数量来定的,比如上面有username和password,就需要两个字典,同时遍历字典,每次从字典取出的值组成一组数据,进行攻击,当其中任一字典遍历完的时候,攻击就结束(攻击次数为最短字典长度)
在这里插入图片描述
可以看到用户字典有4个但因为密码字典只有两个所以只有两次攻击

4.Cluster Bomb

这个也是需要有多个字典,也是根据你选择的攻击的位置的数量来定的,比如上面有username和password,就需要两个字典。但我觉得这个是比较正常或者说通用的吧。这里是会穷尽所有组合
比如第一个字典里有1,2,第二个字典里也有1,2.它就会用(1,1),(1,2),(2,1),(2,2)来进行4次攻击
在这里插入图片描述
可以看到上面的3个用户名和2个密码就组成了6次攻击

Ok,我们这里是对用户登陆页面进行一个暴破,所以这里我们选择Cluster Bomb,分别建立用户的字典和密码的字典(暴力破解字典是很重要的,这里因为是练习就简单的构建下字典)
在这里插入图片描述
Ok,分别将username和pawword保存到两个文件中,然后在payloads中对应导入(payload set1对应username payload set2对应 password)

现在就是最激动人心的时刻了,点击右上方的start attack
攻击开始…

在这里插入图片描述
攻击结束你会看到如上图所示界面,怎么判断成功没有了,我们主要length长度来判断,因为登陆成功和登陆失败返回的界面是不一样的,返回页面大小也就存在区别

我们看到admin password返回的长度是4704
在这里插入图片描述
点击查看返回的html页面我们可以看到welcome admin的字样
在登陆界面我们用admin password进行尝试,可以看到确实登陆成功
在这里插入图片描述

下面我们再来试下hydra

(hydra我真的搞了好久好久,一直不对,直到我在油管上找了一个hydra的视频看,发现下面也有遇到更我相似问题的人,才解决,你敢相信仅仅只是少了一个空格…hydra真的是对语法非常敏感…)
hydra真的是语法

最低0.47元/天 解锁文章

200万优质内容无限畅学
dvwa学习-brute force暴力破解
qq_17762247的博客
05-09 2067
一、简介: Brute-Force(暴力破解),又称为穷举攻击,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如:一个已知是四位数并且全部由阿拉伯数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人透过字典攻击来...
DVWA靶场-Brute Force暴力破解
mlws1900的博客
03-12 2041
具体来说,它使用了mysqli_real_escape_string()函数对用户输入的用户名进行转义,确保特殊字符在SQL语句中不会被误解为SQL语句的一部分,从而保护数据库安全。进入暴力破解的界面,有点基础的都知道,在bp中通过字典,导入用户名和密码进行爆破,这样的操作大家见多了,再写没啥意思,想看的可以去pikachu靶场的暴力破解去了解具体操作,本文主要结合代码进行分析。3.high-高等安全等级,有安全措施保护,是中等安全等级的加深,这个等级下的安全漏洞可能不允许相同程度的攻击。
Brute Force(暴力破解)
qq_42176207的博客
05-05 806
Brute Force 暴力破解,是指攻击者使用账号或密码字典,使用穷举法猜解出用户账号或口令,是广泛使用的攻击手法。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误的时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。 可以在DVWA Security设置等级 Low 后端的代码 //Brute Force Source //vulnerabilities/brute/source/low.php <?php //获取账号密码时,未对用户的输入做过滤和限制,很明显
Bruteforce
成长
12-08 677
Problem Description Given three arraies A[],B[],C[], each contains N non-negative integers.You are asked to maxmize the vale:V=max(A[i]+B[j]+C[k]), where 0 Input Each case contains 4 lines,
蛮力法(Brute Force)
热门推荐
云原生Java Web领域技术博客
11-28 1万+
蛮力法(brute force)是一种简单直接地解决问题的方法(暴力求解),常常直接基于问题的描述和所涉及的概念定义。
DVWA靶场-Brute Force暴力破解~保姆级教程!!!
2301_77360738的博客
05-09 6557
DVWA靶场初体验,超简单的暴力破解!!!
DVWA靶场实战-Brute Force暴力破解
mmxhappy的专栏
01-23 1388
接下来在“Intruder”中找到“Options”,在“Options”中找到“Drep-Extract”,点击“Add”弹出“Define extract grep item”窗口,点击“Refetch response”,在弹出的代码中找到“user_token”将后面的“value”中单引号的内容选中,点击OK添加成功。得到如下界面就是开始爆破了,爆破完后点击length,因为此时其他状态都是相同的,所以我们选择用“Length”来进行筛选,筛选出不同的那几条,就是爆破的结果。
DVWA靶场Brute Force暴力破解练习
c_programj的博客
07-16 727
#DVWA靶场练习—— Brute Force暴力破解 暴力破解:通过穷举法列举出所有可能的结果,然后一个一个验证是否满足条件。 【Low】 使用burpsuite代理抓包,将抓取到的数据包发送到Intruder,或者使用快捷键ctrl+i,然后对参数行进设置。 Positions设置: Payloads设置: 开始进行攻击: 长度与众不同的就是爆破出来的密码。 后台码源: <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username
DVWA系列---Brute Force暴力破解
野原新之助
01-21 556
文章目录一、low级别二、medium级别三、high级别Token简述 实验使用bp进行抓包暴力破解,并提前写好账号密码字典。 一、low级别 安全措施:无任何防护措施 1、使用bp抓包 2、发送至intruder并添加参数,选择形式 3、增加线程后,实施攻击 根据响应长度,判断出正确账号密码。 (查看源代码) <?php if( isset( $_GET[ 'Login' ] )...
DVWA_bruteForce工具_官网下载_Bruter_1.1.zip
09-18
DVWABruteForce板块所需要用到的暴力破解工具。 日常暴力破解小能手。谁用谁知道。
DVWA】——Brute Force暴力破解
HinsCoder的博客
09-13 3229
准备好Brup Suite软件。
暴力破解(Brute Force)
UoM_XiaoShuaiShuai的博客
06-11 1164
暴力破解(Brute Force)简介(Introduction) Brute force is a very general problem-solving technique that consists of systematically enumerating all possible candidates for the solution and checking whether each
dvwa靶场(一)Brute Force
最新发布
m0_74977101的博客
02-04 439
dvwa靶场(一)Brute Force
Brute Force(暴力破解)——在DVWA中的练习
D-R0s1的博客
02-14 1148
DVWA  BruteForce Security Level: low         Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一,穷举法的基本思想是根据已知信息或者范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合全部条件,则为一个有效结果;若全部情况验证后都不符合要求的全部条件...
DVWA Brute Force 全级别
weixin_43893278的博客
05-07 246
LOW 查看源码 <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users` WHERE
【算法】Brute-Force 算法
代码星辰的博客
02-01 2726
本文介绍字符串的模式匹配算法之一——Brute-Force 算法,包括其概述、代码实现等。
暴力算法-BF(Brute Force
To be a better man
03-13 9559
BF算法,即暴力(Brute Force)算法,是普通的模式匹配算法,BF算法的思想就是将目标串S的第一个字符与模式串T的第一个字符进行匹配,若相等,则继续比较S的第二个字符和 T的第二个字符;若不相等,则比较S的第二个字符和T的第一个字符,依次比较下去,直到得出最后的匹配结果。BF算法是一种蛮力算法。 该算法最坏情况下要进行M*(N-M+1)次比较,时间复杂度为O(M*N)。 时间复杂度太高,往往不推荐。 ...
dvwa靶场 Brute Force
01-08
### DVWA Brute Force 暴力破解 实验教程 #### Low 和 Medium 级别暴力破解 对于低级别和中级别的暴力破解,由于这些级别的防护措施较为简单,可以利用工具如Burp Suite来进行自动化攻击。具体来说: - **Low ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值