当前位置: 首页 > 技术干货 > Web渗透实战:使用burp进行暴力破解

Web渗透实战:使用burp进行暴力破解

发表于:2021-01-12 13:03 作者: mtr 阅读数(452人)

通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。

本文涉及知识点实操练习https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014112610341500001

实验简介

实验所属系列:web安全

实验对象:本科/专科信息安全专业

相关课程及专业:网络安全,计算机网络

实验类别:实践实验类


1.Burp的工作模式:

在没有burp之前,客户端使用浏览器直接与服务器进行通信。有了burp之后,burp在客户端与服务器之间充当代理。这样,浏览器发送给服务器的请求就会被burp进行捕获,而burp和wireshark这种审计类工具相比,其强大之处在于不仅可以做审计工作,更可以对数据包进行修改并发送出去。使用了burp的结构如下图所示。


2.暴力破解:

一般使用暴力破解都有两种原因:

1.对这个漏洞的测试,人是可以完成的,即可穷举。

2.人可以完成,但是代价太大,或者太浪费时间。

正是出于这样的问题,一些软件的出现帮助人完成了这些测试,这就是暴力破解的真正好处。在业界曾经有这样的一种看法,对于暴力破解的使用都不屑一顾,因为大家觉得技术含量太低。但是,从实际的情况来看,因为用户使用弱口令情况太普遍,导致很多漏洞使用暴力破解都可以轻松拿下。

暴力破解,最有价值的地方是在对字典的构造上,这是一门技术,需要长期的经验积累。


实验目的

通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。在此郑重声明,本教程只做教学目的,严禁使用本教程对线上网站进行破坏攻击。


实验环境

服务器:windows xp sp3  ip地址:10.1.1.163

测试者:windows xp sp3  ip地址随机