网络攻防项目实战 课件 3.2 暴力破解漏洞利用与加固

WEB渗透与加固3.2暴力破解漏洞利用与加固020301环境部署暴力破解漏洞利用暴力破解漏洞加固目录环境部署01环境部署1.打开VMwareWorkstation虚拟机软件，选择菜单栏中的“编辑”选项，在“VMnet信息”选区中勾选“NAT模式”，将DHCP服务设置子网Ip与子网掩码环境部署2.单击“NAT设置”按钮，在弹出的对话框中设置网关IP环境部署3.单击“DHCP设置”按钮，将设置起始IP地址与结束IP地址环境部署4.开启虚拟机后，单击“开始”按钮，在搜索框中输入“cmd”打开cmd终端命令行窗口，输入“ipconfig”命令查看本机网络信息登录账号：Administrator登录密码：A123456S.环境部署5.打开PhPStudy之后，开启软件自带的Apache服务器与MySQL数据库Burpsite环境配置6.选择“编辑系统环境变量”选项，在“高级”选项卡中单击“环境变量”按钮，再单击“新建”按钮创建一个名为“JAVA_HOME”的变量，并且将教学配套资源包中的“jdk”文件解压缩到“c:\jdk\”目录下Burpsite环境配置7.

在“环境变量”弹窗中，选择“Path”选项并对其进行编辑，在Path变量中新增一项内容，格式为“%JAVA_HOME%\bin”Burpsite环境配置8.在计算机桌面中按“Win+R”组合键，在打开的“运行”程序中输入“cmd”，打开cmd终端命令行窗口，继续输入“java-version”命令Burpsite配置Firefox代理配置暴力破解漏洞利用02暴力破解暴力破解的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。因为理论上来说，只要字典足够庞大，枚举总是能够成功的。如2014年轰动全国的12306“撞库”事件，实质就是暴力破解攻击。漏洞利用1.设置interceptison2.在登录页面输入任意用户名密码漏洞利用1.设置interceptison2.在登录页面输入任意用户名密码漏洞利用3.在proxy的intercept模块中，观察拦截的数据包可以发现使用的账号与密码，在空白区域右击，在弹出的快捷菜单中选择“sendtointruder”命令漏洞利用4.设置attacktype的攻击类型，单击右上角的“Clear$”按钮，对获取的流量包进行处理，选中所需信息并单击右上角的“Add$”按钮漏洞利用1.sniper:狙击手，表示如果爆破点设置一个，simplelist如果是6个，就执行6次，如果爆破点设置两个，则执行12次，一般这个模式下只设置一个爆破点，因为如果用户名和密码都不知道的情况下不会使用该模式去爆破。通常用于在知道用户名后，对密码进行爆破。2.batteringram：工程锤，表示两个爆破点使用同一个play依次去执行，如果simplelist是6个，那么就执行6次。3.pitch-fork：叉子，这个模式下，表示两个爆破点，并且会设置两个payload1和payload2，payload1就设置给爆破点1，payload2就设置给爆破点2，总共也是执行6次。4.clusterbomb：集束炸弹，表示如果有两个爆破点，同时设置两个payload1，和payload2，simplelist是6个和7个，那么就会执行一个笛卡尔积的次数。即就是42次。漏洞利用5.设置simplelist内容后，点击attack漏洞利用6.按字长排序，会出现一个不一样的，这个就是密码漏洞加固03漏洞加固为了应对暴力破解中