写点什么

owasp zap 暴力破解测试

作者:喀拉峻
  • 2021 年 11 月 27 日
  • 本文字数:1048 字

    阅读完需:约 3 分钟

网络安全里装着好多人的侠客梦。但是不能触碰铁律,所以,只小小的自娱自乐。


自己练习,大都会用到 DVWA,一个很好的安全测试平台,自己搭建(很简单,傻瓜式搭建),自己设置安全级别,自己验证各种漏洞攻击方式。(这里不再赘述,有时间可以将 DVWA 的搭建再细传上来)


1、代理设置


将 owasp zap 的本地代理设置成 127.0.0.1 端口 8080


测试用的浏览器也设置成同样的代理(可以用 proxy switcher 等快捷代理设置插件,也可以自己手动设置,例如如下)


2、抓包


 保持打开owasp zap,不做任何操作。这时打开设置了代理的浏览器,访问想要进行暴力破解的网站,例如http://127.0.0.1/DVWA-master/DVWA-master/login.php  (此次测试设置dvwa  security为low,想尝试更难的等级,则设置为high,high登记由user_token,破解稍微麻烦一些)。
复制代码


在该登陆页面,随意录入用户名、密码(例如 test test),点击 login


显然登陆失败。


这时查看 owasp zap 中页面,查看历史记录中最新的一条,即此次操作抓到的包


双击这条记录,查看对应的请求、响应报文


看到 get 请求:GET http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/brute/?username=test&password=test&Login=Login


其中 username、password 是我们随意输入的 test test


3、导入字典


通过 2 可知,我们的在前端页面用户名、密码参数分别为 username、password,我们要破解的就是匹配的这两个字段。


下面对这两个字段导入字典


选中“历史”标签的 url 记录,右键选择 攻击--Fuzz,如下图


点击 Fuzz 后,进入如下页面


选中 test,点击右侧的“Add” 按钮 ,在弹出的子框中,点击 Add


“类型”默认为“String” 即可手动输入猜测的用户名,也可以选择类型为“”文件“导入准备好的字典,如下:


同样,对 password 也可以进行字典的导入,选中 password 的值 test,点击”Add“


同样导入 password 的常用密码。点击”Start Fuzzer“,即开始进行 username 和 password 准备字典中个数乘积次数的自动匹配猜解。


点击后,快速出来 32 条(4*8)结果,如下


查看结果中 Size Resp Header 即数据包大小,只有一条是 4.87kib,其他都是 4.79kib,和第一次进行抓包时的大小一样。因登陆成功和失败的页面差异,不妨猜测这条包大小与众不同的记录即破解成功的记录。


验证一下,双击这条 4.87kib 大小的记录,查看请求和响应报文。发现响应报文中有”Welcome to the password protected area admin“ 这样一句话,显然破解成功。


在这条记录的请求报文,还是有记录的 payloads 中都有注明用户名、密码。所以,至此,得到了可以登陆的用户名密码。


尝试使用该用户名、密码登陆可成功

用户头像

喀拉峻

关注

左手Java右手Python,中间纹个C++ 2021.06.26 加入

还未添加个人简介

评论

发布
暂无评论
owasp zap 暴力破解测试