Webug第四關(guān)

一看題目:

image.png

提示遇到5位驗證碼時可以爆破
進去之后是個登錄頁面:
image.png

隨便輸入一些字符之后點擊 登錄,發(fā)現(xiàn)都是登錄錯誤:
image.png

f12看看,也沒有發(fā)現(xiàn)什么,不過想到提示說要爆破,emmmm百度一下,參考這位大佬:
https://blog.csdn.net/Blood_Pupil/article/details/80960059#_67
f12中可以看到表單的用戶名,密碼所對應(yīng)的ID,以及表單所提交的方式:
image.png

可以使用hydra作破解,這個破解的原理是暴力破解,就是以用戶名和密碼匹配的極致,一個一個對應(yīng)的登錄這個界面,直至登錄成功,不適用與帶有驗證碼的登錄系統(tǒng)。
在kali的終端中輸入:

image.png

其中hydra當(dāng)然是調(diào)用工具的命令了,-l是設(shè)置一個用戶名, -P是以一個文件序列作為破解的密碼集合,這里使用了kali自帶的一個密碼字典(弱口令密碼),-vV是顯示執(zhí)行過程,-f是讓它爆破到密碼后停止,-t是表示使用多少個線程,其取值為1~64 ,緊接著后面輸入靶機的IP,之后就是提交方式和前綴,還有一個form是表單(IP地址后面跟著的一個長串),最后設(shè)置的是頁面的錯誤提示信息(應(yīng)該是用于驗證是否登錄成功,這里定義為login failure,是登錄進去之后錯誤的提示)
開始爆破,在成功的時候會有提示:
image.png

可以看到用戶名為admin,密碼為admin123。
使用這個登錄登錄進去,顯示:
image.png

emmmm沒了? 我還是回去找找源碼吧...不過這題的意思就是讓我們把密碼炸出來。
回去看看源碼,發(fā)現(xiàn)是這個:
image.png

這個鏈接有一些hydra命令的解釋,可以參考:
http://www.360doc7.net/wxarticlenew/444659237.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容