如何获取管理员账号密码呢?

2023年7月31日发(作者：)

如何获取管理员账号密码呢？有时我们想检查某个⽹站的管理员账号有没有使⽤弱密码，就要使⽤⼀些弱密码来尝试登录⽹站的管理员账号。如果这样的弱密码是⼗个、⼆⼗个，我们就可以⼿⼯去试，但是我们试⼗次⼆⼗次可能还是没有成功登录管理员账号，这时候也不能就这样判断这个⽹站的管理员账号没有使⽤弱密码，因为弱密码的种类还是⽐较多的，⽐如密码的长度有6位或者8位，密码的构成有纯数字或者纯字母，这些密码的可能性简单的排列组合就有上百种情况。或者，我们压根就想破解这个⽹站的管理员账号的密码（嘿嘿），这时候我们当然是希望尝试尽可能多的密码。这时候，我们就需要⽤到⾃动化的⼯具来操作刚才描述的⼿动破解密码的过程。⾃动化破解⼯具可以⾃⼰写个脚本，也可以选择已有的⼯具，经过我们已有的尝试，burpsuit就是⼀款很不错的⾃动化⼯具。今天我们就来说说利⽤burpsuit来进⾏⼝令暴⼒破解的⽅法。关于burpsuit，它是⼀款很强⼤的渗透测试⼩软件，有免费版和破解版可⽤，有兴趣的童鞋可以⾃⾏百度。Burpsuit配置1、我⽤的是chrome浏览器，下载SwitchySharp的chrome插件，启⽤插件后新建情景模式，并配置该情景模式的HTTP代理，如下图中所⽰，我设置的情景模式名称是burpsuit，配置好后点击保存。2、设置chrome浏览器使⽤burpsuit代理。⽅法是点击浏览器地址栏最右边的SwitchySharp图标，并选择刚才设置好的burpsuit情景模式，如下图所⽰。Burpsuit⼝令暴⼒破解步骤1、 打开burpsuit，如下图所⽰2、 选⼀个⽹站，在登录页⾯，输⼊⽤户名，再随便输⼊⼀个密码，⽐如1234563、 点击burpsuit上的Interceptis off按钮，按钮变成了intercept is on，如下图所⽰4、 返回该⽹站的登录页⾯，点击“登录”，这时可以看到burpsuit的图标点亮了，打开burpsuit可以看到⽹站发送的登录请求信息，如下图所⽰。5、 在Raw内容框中点击⿏标右键，选择Sendto Intruder，burpsuit标签页的Intruder标签点亮了。6、 打开Intruder标签页，Target页已经默认填写了，如下图1所⽰，Positions页（图2）内点击Clear按钮（图3）。7、 在Payloads标签页，有⼏个地⽅需要设置。Payloads type选择Simple list，Payload Options⾥，点击Load，选择要打开的字典，点击“Start attack”，开始爆破。8、 爆破结束后，对爆破结果按照“Length”排序，响应长度与其他不同的那个就是正确密码。如下图所⽰。密码字典⽹上有很多密码字典可以下载，但最好是⾃⼰多总结，总结出有⾃⼰特⾊的密码字典。如何防⽌我的⽹站被别⼈暴⼒破解⼝令呢？⼝令暴⼒破解并不是所有的⽹站都适⽤的，⽹站登录页⾯有验证码、限制登录失败次数、限制某IP的登录失败次数都会对⼝令爆破带来困难。所以，为了咱们⽹站的安全，开发⼯程师们也要为⽹站登录页⾯增加验证码和登录失败等安全举措。彩蛋如果⽹站仅设置了登录失败锁定账户功能，暴⼒破解是不是就⼀定⽆计可施了呢？也不是这样哒，可以定⼀个密码遍历账户呀~

2023年7月31日发(作者：)

如何获取管理员账号密码呢？有时我们想检查某个⽹站的管理员账号有没有使⽤弱密码，就要使⽤⼀些弱密码来尝试登录⽹站的管理员账号。如果这样的弱密码是⼗个、⼆⼗个，我们就可以⼿⼯去试，但是我们试⼗次⼆⼗次可能还是没有成功登录管理员账号，这时候也不能就这样判断这个⽹站的管理员账号没有使⽤弱密码，因为弱密码的种类还是⽐较多的，⽐如密码的长度有6位或者8位，密码的构成有纯数字或者纯字母，这些密码的可能性简单的排列组合就有上百种情况。或者，我们压根就想破解这个⽹站的管理员账号的密码（嘿嘿），这时候我们当然是希望尝试尽可能多的密码。这时候，我们就需要⽤到⾃动化的⼯具来操作刚才描述的⼿动破解密码的过程。⾃动化破解⼯具可以⾃⼰写个脚本，也可以选择已有的⼯具，经过我们已有的尝试，burpsuit就是⼀款很不错的⾃动化⼯具。今天我们就来说说利⽤burpsuit来进⾏⼝令暴⼒破解的⽅法。关于burpsuit，它是⼀款很强⼤的渗透测试⼩软件，有免费版和破解版可⽤，有兴趣的童鞋可以⾃⾏百度。Burpsuit配置1、我⽤的是chrome浏览器，下载SwitchySharp的chrome插件，启⽤插件后新建情景模式，并配置该情景模式的HTTP代理，如下图中所⽰，我设置的情景模式名称是burpsuit，配置好后点击保存。2、设置chrome浏览器使⽤burpsuit代理。⽅法是点击浏览器地址栏最右边的SwitchySharp图标，并选择刚才设置好的burpsuit情景模式，如下图所⽰。Burpsuit⼝令暴⼒破解步骤1、 打开burpsuit，如下图所⽰2、 选⼀个⽹站，在登录页⾯，输⼊⽤户名，再随便输⼊⼀个密码，⽐如1234563、 点击burpsuit上的Interceptis off按钮，按钮变成了intercept is on，如下图所⽰4、 返回该⽹站的登录页⾯，点击“登录”，这时可以看到burpsuit的图标点亮了，打开burpsuit可以看到⽹站发送的登录请求信息，如下图所⽰。5、 在Raw内容框中点击⿏标右键，选择Sendto Intruder，burpsuit标签页的Intruder标签点亮了。6、 打开Intruder标签页，Target页已经默认填写了，如下图1所⽰，Positions页（图2）内点击Clear按钮（图3）。7、 在Payloads标签页，有⼏个地⽅需要设置。Payloads type选择Simple list，Payload Options⾥，点击Load，选择要打开的字典，点击“Start attack”，开始爆破。8、 爆破结束后，对爆破结果按照“Length”排序，响应长度与其他不同的那个就是正确密码。如下图所⽰。密码字典⽹上有很多密码字典可以下载，但最好是⾃⼰多总结，总结出有⾃⼰特⾊的密码字典。如何防⽌我的⽹站被别⼈暴⼒破解⼝令呢？⼝令暴⼒破解并不是所有的⽹站都适⽤的，⽹站登录页⾯有验证码、限制登录失败次数、限制某IP的登录失败次数都会对⼝令爆破带来困难。所以，为了咱们⽹站的安全，开发⼯程师们也要为⽹站登录页⾯增加验证码和登录失败等安全举措。彩蛋如果⽹站仅设置了登录失败锁定账户功能，暴⼒破解是不是就⼀定⽆计可施了呢？也不是这样哒，可以定⼀个密码遍历账户呀~