漏洞-弱口令介绍与自动攻击示范

最新推荐文章于 2025-06-14 13:19:54 发布
最新推荐文章于 2025-06-14 13:19:54 发布
阅读量7.8k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 深造之旅 漏洞分析 文章标签: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/53057491
本文介绍了一种利用Burp Suite进行弱口令爆破的实战演练,通过具体案例展示了如何设置代理、选择目标网站及配置字典等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基本漏洞类型

  • 1 弱口令,爆破\遍历
    中央

  • 2 SQL注入

  • 3 XSS攻击
    xss平台

  • 4 代码执行,命令执行

  • 5 越权,逻辑

  • 6 配置错误

  • 7 敏感信息泄漏

更多可以看这里:常见漏洞细细分类

弱口令top100作为字典:
web测试密码爆破遍历与弱口令尝试工具:
Burp
没有验证码的密码都是浮云-当然限制次数除外哈

光说不练假把式-那我们要不演示一下吧

攻击实例

配置环境java环境下载Burp工具就不说了。

挑一个网站

写到这里想到了一件往事,学生时代我一同学帮我另一同学在计算机考试注册账号时把密码给弄错了,不能在线找回密码,那叫一个难受-我难受,当然没有验证码,最后只能人工找回。

好了,回忆完毕之后,立马找到一个计算机考试网站,这都多少年了,还没有验证码,正好做教材!

网站大致长这样的:

登录部分

设置代理

要想让Burp能运转起来,需要将浏览器设置成Burp为代理服务器,
当我们打开Burp的时候,它自动帮我们建立了一个代理,如图:

Burp代理

127.0.0.1:8080
现在我们设置我们的浏览器,以火狐为例:

工具->选项->高级->网络->设置 将参数添入

将参数添入

好了。

开始攻击前解析

点击一下登录按钮,发现我们的Burp窗口在闪动。看一下:

密码账户

密码账户都这里了。

现在我们在这个窗口右键->Send to Intruder
右键

切换到Intruder选项卡下的Positions,Burp已经自动帮我们挑选出来了可能需要突破的地方用§符号包裹起来了。

包裹

我们首先点击Clearn §来清除所有的标记再用Add§只标记出,密码部分:

......§12345678§&requrl......

配置你的字典

我们这里直接使用top100作为字典:
切换到Positions旁边的Payload选项卡
Add字典。

Attack

点击 Attack按钮。

Options中修改合适的线程可以让速度更迷人。

区分结果

16个线程就是快啊
如何知道有没有成功呢?
最简便的方法就是看Length有没有异类。

结果

。。。php代码审计是个

我为什么要跟深入学习信息安全呢?

多维度打击/保护的思路:

  1. 漏洞利用检测
  2. 网络攻击
  3. 本地分析

实际上最初的目的是为了解决遭遇问题时候的无力感

米斯特Web安全不错哟

弱口令之暴力破解
记录开发和安全学习过程中的点点滴滴
04-22 2206
本来想在打靶场的同时结合实战案例放在一起进行分享,结果发现篇幅太长,也不利于看,就放在下一篇中结合着一起来看,当然我也会在下面的靶场中,写出具体的一些实战遇到的解释,为什么要着重来写这个,能用弱口令进入的页面是获得权限以及获取其他漏洞的最好方式了,实在没办法的话,采取其他战术.弱口令是指容易被猜测或破解的密码,而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解的密码。
X-Scan介绍和使用方法
BRAVE MAN的博客
10-15 2万+
1.X-Scan介绍 X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进...
弱口令攻击
03-11
使用网络安全扫描工具X-Scan进行安全扫描,破解本地用户名、口令以及远程用户名、口令的方法。
XSS漏洞自动攻击工具XSSer
weixin_34018169的博客
08-30 1051
2019独角兽企业重金招聘Python工程师标准>>> ...
弱口令(Weak Password)总结和爆破工具.md,从零基础到精通,收藏这篇就够了!_系统弱密码监测工具
最新发布
zz96405784848的博客
06-14 889
弱口令是指容易被猜测或破解的简单密码,如"123456"或"admin",常见于安全意识不足的用户。攻击者利用弱口令可入侵系统,导致数据泄露或服务器沦陷。为提高破解效率,可通过收集目标个人信息(如生日、手机号)定制字典库,或使用现有字典。常用工具包括超级弱口令检查工具、水影域信息收集工具、WebCrack及BurpSuite的Intruder模块,用于批量检测和爆破弱密码。防护措施建议使用复杂密码并定期更换,避免多账户使用相同密码。
弱口令(Weak Password)总结和爆破工具
热门推荐
博客地址 www.sec0nd.top
09-01 3万+
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。...
弱口令介绍及破解方式
weixin_56990703的博客
04-02 1万+
一、弱口令的定义 仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。 二、弱口令的特点 1、连续字符串(如aaaa,abc等) 2、数字 数字通常会包含个人信息,如生日、身份证号的某几位。 3、字符串+数字;数字+字符串;重复数字或字符串的组合 三、安全口令的要求(有效防止弱口令) 1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为
X-Scan v3.1
10-22
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备...
强大的扫描工具x-scan
11-13
务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等 二十几个大类。对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它漏洞资 料正在进一步...
x-scan v3.3 GUI
04-25
扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它...
X-Scan
04-04
检测NT-Server弱口令 -iis : 检测IIS编码/解码漏洞 -cgi : 检测CGI漏洞 -nasl : 加载Nessus攻击脚本 -all : 检测以上所有项目 <br> [其他选项] 含义如下: -i <适配器编号>: 设置网络适配器,...
弱口令密码
04-30
内置内置90000多条使用频率最高的密码,是wifi密码破解或其他密码破解必备字典库。
18-聊聊弱口令的危害(一)1
08-03
1、连续或重复的数字,如123123、123456、987654、111111、222333等 4、日期或年份,如800128(生日)、2012、1925112
最全弱口令常用口令大集合
01-30
弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字
Django 实现有点安全的网站登录认证机制——口令爆破
Bcdfxg的博客
01-06 1913
这次讲登录认证机制最常见的漏洞,口令暴力破解
web入侵二之弱口令攻击及其他
jiangliuzheng的专栏
12-30 1万+
一、什么是弱口令   就是说由常用数字、字母、字符等组合成的,容易被别人通过简单及平常的思维方式就能猜到的密码,利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果   二、共享入侵--IPC$     IPC$是共享“命名管道”资源,它是为了让进程间通信而开放的命令管道,可以通过验证用户名和密码获取相应的权限,在远程管理计算机和查看计算机的共享资源是使用,利用IPC$,攻击者甚至可
弱口令命令爆破
2401_83181186的博客
04-18 1395
弱口令九头蛇爆破基本指令
防止mysql用户root密码弱口令攻击方法
abc20041012的博客
05-16 164
1、连接到对方MYSQL 服务器 mysql -u root -h 192.168.0.1 mysql.exe 这个程序在你安装了MYSQL的的BIN目录中。 2、让我们来看看服务器中有些什么数据库 mysql>show databases; MYSQL默认安装时会有MYSQL、TEST这两个数据库,如果你看到有其它的数据库那么就是用户自建的数据库。 3、让我们进入数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值