万能密码
万能密码通常指的是在某些系统存在漏洞时,可以绕过正常身份验证机制的特殊输入。例如,在存在SQL注入漏洞的系统中,“admin' or '1'='1”这样的构造可能被用来非法登录,这是因为这种输入实际上欺骗了数据库查询,使其始终返回真值,从而绕过了正确的用户名和密码检查。
密码字典下载
后台回复:万能密码字典,获取万能密码字典的下载链接。
通过BurpSuite批量测试
首先在登录处随便输入一个账号和密码。
使用火狐浏览器,设置里搜索代理,设置好代理。
启动BurpSuite,点击'proxy settings'设置好代理;然后切换到代理--拦截--点击一下拦截已关闭,开启拦截。
登录页面点击登录,拦截到登录请求包
单击右键选择'发送到intruder' 然后切换到intruder
先点击'清除payload位置',然后选中账号payload,点击'添加payload位置',选中密码payload,点击'添加payload位置';攻击类型选择'交叉-多个payload集。
点击payload,选择payload集1和payload集2,点击'从文件加载'把万能密码分别加载进来,点击'开始攻击'。
攻击完成后可以通过查看状态码、长度和响应包来判断是否成功。
版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
发表评论