sudo su
cd iris
cd Downloads
sudo ./burpsuite_community_linux_v2024_1_1_6.sh
cd burpsuite_community_linux_v2024_1_1_6
sudo chmod +x burpsuite_community_linux_v2024_1_1_6.sh
sudo ./burpsuite_community_linux_v2024_1_1_6.sh -c
./burpsuite_community_linux_v2024_1_1_6.sh --mode text
/home/iris/BurpSuiteCommunity即可開啟檔案
初始頁面
確認運行成功: ps aux | grep burpsuite
到Proxy --> intercept --> Open browser
開啟擴充套件 --> Burp Suit
會出現一個無痕式頁面,按下"Start Record"即可開始監聽封包
到"HTTP history"可以看到以觀測到歷史紀錄
如果在 Proxy setting --> 搜尋listener --> 在裡面新增specific addr,並勾選;則可以透過internet的方式連線(外部網卡)
參考: 三人要保密,一個人要學好資安系列 第 12 篇
DVWA練習-Brute Force
參考: 新手指南:DVWA-1.9全級別教程之Brute Force
參考: DVWA使用教程(Brute Force)(一)
餐考: Web滲透測試 - Burp Suite 完整教學系列 第 13 篇
Intruder 帳密暴力破解與列舉FUZZING找漏洞的好幫手
正常行為: 輸入帳號=admin,與正確密碼,登入頁面
找到DVWA登入頁面---Low,帳號選擇admin,並隨意輸入一組錯誤密碼
在Burp找到該筆封包並對程式碼區域按下ctrl+i(send to intruder),將程式碼複製到intruder內
可以看到intrader成功複製網頁程式碼
攻擊種類
按下右上角attack,並到Result觀察結果
password,長度為4660,其餘都是4618或4617
參考資料: kkrypt0nn/wordlists
可以透過Wordlist找到已有的字典進行暴力解
密碼破解:Brute Force 攻擊通常用於嘗試破解密碼。攻擊者通過不斷嘗試大量可能的密碼組合,持續進行登錄尝試,直到找到正確的密碼為止。一旦成功,攻擊者就可以獲取被攻擊者的帳戶或系統的訪問權限。
資源消耗:由於 Brute Force 攻擊需要不斷嘗試大量的密碼組合,因此它會造成伺服器資源的消耗。這可能包括 CPU 計算資源、內存資源以及網路頻寬等。
帳戶被鎖定:在防禦 Brute Force 攻擊時,通常會採取一些安全措施,如帳戶鎖定或 IP 封鎖等。如果攻擊者不斷嘗試登錄,可能會導致帳戶被鎖定,給正常用戶帶來不便。
隱私洩漏:在進行 Brute Force 攻擊時,攻擊者可能會使用一些自動化工具或腳本,這些工具可能會在網路上產生大量的登錄尝試日誌。這些日誌可能包含用戶的敏感信息,如用戶名、密碼等,導致隱私洩漏風險增加。
系統崩潰:如果伺服器無法及時應對大量的登錄尝試請求,可能會導致系統資源耗盡,最終導致系統崩潰或服務不可用。
iThome鐵人賽
看影片追技術