9、常见Web攻击技术实战指南
常见Web攻击技术实战指南
1. 使用THC - Hydra暴力破解密码
THC - Hydra是一款网络登录破解工具,即在线破解器,可通过暴力破解网络服务来查找登录密码。暴力攻击是尝试所有可能的字符组合来猜测正确密码,这种攻击方式理论上一定能找到答案,只是可能需要很长时间。
1.1 准备工作
需要创建一个包含已知有效用户名的文本文件,例如users.txt,内容如下:
admin test user user1 john1.2 操作步骤
- 分析登录请求和响应:使用Burp Suite捕获DVWA的登录请求,发现请求地址为
/dvwa/login.php,包含username、password和login三个变量。停止捕获请求后,在浏览器中查看响应,发现无效登录会重定向到登录页面,因此将login.php作为判断登录失败的字符串。 - 发起攻击:在终端中输入以下命令:
hydra 192.168.56.102 http-form-post "/dvwa/login.php:username=^USER^&password