最近在pikachu靶场练习暴力破解账号和密码,遇到几个问题,经过反复琢磨测试,一一得到解决。现与大家分享一下,希望对您有所启发和帮助。
我的虚拟机系统是Kali Linux,工具是Burp Suite_pro,受害者虚拟机系统Win2008 R2,平台是phpstudypro,靶场是pikachu,浏览器是火狐Firefox。
一、打开浏览器,进入pikachu漏洞平台。
在浏览器地址栏输入:http://192.168.31.77/pikachu (备注:此IP地址是漏洞平台pikachu网址),进入暴力破解基于表单的暴力破解模块。
二、打开Burp软件,设置好Proxy功能模块Options选项Proxy Listeners监听端口(127.0.0.1:8080)。进入Intercept选项,按钮Intercept is on状态,回到pikachu平台,在表单暴力破解输入用户名和密码,我这里输入admin,123。Burp抓请求包如下图:
三、在空白处点击右键然后点击Send to Intruder。进入Intruder功能模块Position选项,点击右侧Clear$按钮。
四、分别选中用户名:admin,密码:123,点击右侧Add$按钮。强调一下,此处Attack type 要选择Cluster bomb,不是缺省Sniper。否则Payloads数量不会出现2个。
五、然后点击Payloads选项,【1】Payload set :1,Payload type :Simple list,【2】Payload Options[Simple list],此项加载爆破用的用户名字典文件,或者直接键盘输入(Add按钮)。【3】Payload set :2,Payload type :Simple list,【5】Payload Options[Simple list],此项加载爆破用的用户密码字典文件,也可以键盘输入(同上)。
六、然后点击Start attack按钮,开始爆破。
爆破结果查看Length长度判断是否爆破成功。此例爆破成功,用户名admin,密码123456。好了,希望看到此文的朋友对你有所帮助和启发。感谢分享!欢迎批评指正!
