统计
  • 建站日期:2022-01-17
  • 文章总数:3160 篇
  • 评论总数:3358条
  • 分类总数:43 个
  • 最后更新:今天

SRC漏洞--使用万能密码绕过登录(提供万能密码字典)

首页 综合教程 正文
广告

万能密码

万能密码通常指的是在某些系统存在漏洞时,可以绕过正常身份验证机制的特殊输入。例如,在存在SQL注入漏洞的系统中,“admin' or '1'='1”这样的构造可能被用来非法登录,这是因为这种输入实际上欺骗了数据库查询,使其始终返回真值,从而绕过了正确的用户名和密码检查。

密码字典下载

后台回复:万能密码字典,获取万能密码字典的下载链接。

通过BurpSuite批量测试

首先在登录处随便输入一个账号和密码。

image.png

使用火狐浏览器,设置里搜索代理,设置好代理。

image.png

启动BurpSuite,点击'proxy settings'设置好代理;然后切换到代理--拦截--点击一下拦截已关闭,开启拦截。

image.png

image.png

登录页面点击登录,拦截到登录请求包

image.png

单击右键选择'发送到intruder' 然后切换到intruder

image.png

先点击'清除payload位置',然后选中账号payload,点击'添加payload位置',选中密码payload,点击'添加payload位置';攻击类型选择'交叉-多个payload集。

image.png

点击payload,选择payload集1和payload集2,点击'从文件加载'把万能密码分别加载进来,点击'开始攻击'。

image.png

攻击完成后可以通过查看状态码、长度和响应包来判断是否成功。

image.png

版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
快速查找页面敏感信息或未授权api接口的工具--URLFinder
« 上一篇 02-07
IDC服务器互联官网引导页源码
下一篇 » 02-07

发表评论

  • 泡泡
  • 阿呆
  • 阿鲁
  • 蛆音娘
    没有更多评论了