前言,为了帮助学习网络安全的朋友学习渗透测试,绕过验证码,破解用户名和密码,登录管理后台。
绕过验证码登陆
准备环境
- https://hack.zkaq.cn/ 封神台在线靶场中在线靶机大米CMS后台管理 (aqlab.cn)
- 火狐浏览器
- 封神台提供的字典
- 抓包工具 burp suite
操作过程
- 封神台靶场
2.字典,这个字典包是在线靶场提供的,大家复制下来放到,txt文档中就可以了。注意在导入字典时如果是乱码,考虑命名是否是中文就可以了。
3.burp拦截。burp的安装和破解我就不总结发文了,大家可以自行搜索。我在这里只是说明注意事项。其中的拦截请求是可以开关的。当想让火狐浏览器正常访问网页时就可以把他关闭了。这样火狐浏览器就可以正常访问了。注意设置的代理地址burp的默认是127.0.0.1,端口默认是8080.
4.测试没有校验验证码,,在拦截到登录请求后,点击右键。repeat发包。就会到这个界面。然后在这个界面修改登录密码和用户名。发现后台都不校验验证码的。这是一个关键点。所以我们可以用跑包破解用户名和密码的方式来登录。
5.跑字典登陆,当返回状态码是302时证明登录密码破解成功。这个界面也是从代理的哪个界面过来的。点击上一个界面的行动然后到这里。把用户名和密码变成可以配置的参数。然后倒入字典。大概试了3800次。破解成功。返回状态码是302就对了。
最后祝大家身体健康,快乐学习。