小白--弱口令
字数 1433 2025-08-29 08:30:30

弱口令漏洞挖掘教学文档

一、信息搜集阶段

1.1 目标网站搜索

使用以下空间搜索引擎查找含有登录框的网站:

  1. Fofa空间搜索引擎

    • 网址:https://fofa.info/
    • 搜索语法示例:body="登录" && org="China Education and Research Network Center"
    • 说明:搜索HTML正文包含"登录"关键词且属于中国教育和科研计算机网中心的页面

  2. 360Quake空间搜索引擎

    • 网址:https://quake.360.net/
    • 搜索语法示例:body="登录" && org="China Education"
    • 说明:搜索HTML正文包含"登录"关键词且属于中国教育组织的页面

  3. 传统搜索引擎

    • 百度:site:.edu 登录
    • 谷歌:类似语法

二、登录页面分析

2.1 观察登录表单要素

  • 账号输入框
  • 密码输入框
  • 验证码(如有)

2.2 初步测试

使用常见弱口令组合进行初步测试:

  • 账号:admin
  • 密码:123456

2.3 响应类型判断

根据返回信息判断网站类型:

  1. 密码错误

    • 特征:明确提示"密码错误"
    • 对策:检查密码是否加密,未加密则进行爆破

  2. 账号不存在

    • 特征:明确提示"账号不存在"
    • 对策:先爆破有效账号,再爆破密码

  3. 账号或密码错误

    • 特征:不区分账号或密码错误
    • 对策:尝试常见组合或进行爆破

  4. 限制登录次数

    • 特征:提示尝试次数过多或账号被冻结
    • 对策:建议放弃,寻找其他目标

三、爆破实战步骤

3.1 准备工作

  • 工具:Burp Suite
  • 字典:准备密码字典

3.2 操作流程

  1. 配置代理

    • 开启Burp Suite代理
    • 配置浏览器使用Burp代理

  2. 拦截请求

    • 在目标网站输入测试账号密码
    • 点击登录,确保请求被Burp拦截

  3. 检查加密情况

    • 查看请求中账号密码是否明文传输
    • 如加密则建议放弃

  4. 发送到Intruder

    • 右键请求 → Send to Intruder
    • 注意不要丢弃或放行请求,否则验证码可能失效

  5. 设置攻击位置

    • 在Intruder的Positions标签页
    • 选择密码参数,添加$标记作为爆破位置

  6. 配置Payload

    • 在Payloads标签页导入密码字典
    • 配置适当的攻击类型(通常为Sniper)

  7. 开始攻击

    • 点击"Start attack"按钮
    • 等待所有请求完成

  8. 分析结果

    • 观察返回包长度差异
    • 长度异常的响应可能对应正确密码
    • 在网页上验证该密码

四、注意事项

  1. 成功率

    • 挖不出漏洞是正常现象,不要灰心
    • 建议以量取胜,多尝试不同目标

  2. IP封禁

    • 如发现所有返回包相同,可能是IP被封
    • 解决方案:更换网络(如使用手机热点)

  3. 目标限制

    • 新手避免测试政府、企业、金融等敏感网站
    • 建议从教育类网站开始练习

  4. 工具准备

    • 确保Burp Suite配置正确
    • 准备高质量的密码字典

  5. 验证码处理

    • 爆破过程中注意验证码复用问题
    • 部分网站验证码可重复使用,部分则不行

五、扩展建议

  1. 字典优化

    • 收集目标相关的常见账号密码组合
    • 针对教育网站可准备学号、工号等特殊字典

  2. 自动化脚本

    • 学习编写简单脚本实现自动化测试
    • 注意控制请求频率避免触发防护机制

  3. 漏洞提交

    • 发现漏洞后提交至正规漏洞平台(如教育SRC)
    • 遵循负责任的漏洞披露原则

  4. 持续学习

    • 关注各类登录认证机制的发展
    • 学习新的漏洞挖掘技术和方法

六、免责声明

本教学文档仅用于网络安全学习和技术研究,任何使用本文所述技术进行的非法活动均与作者无关。请遵守相关法律法规,在获得授权的前提下进行安全测试。

弱口令漏洞挖掘教学文档 一、信息搜集阶段 1.1 目标网站搜索 使用以下空间搜索引擎查找含有登录框的网站: Fofa空间搜索引擎 网址:https://fofa.info/ 搜索语法示例: body="登录" && org="China Education and Research Network Center" 说明:搜索HTML正文包含"登录"关键词且属于中国教育和科研计算机网中心的页面 360Quake空间搜索引擎 网址:https://quake.360.net/ 搜索语法示例: body="登录" && org="China Education" 说明:搜索HTML正文包含"登录"关键词且属于中国教育组织的页面 传统搜索引擎 百度: site:.edu 登录 谷歌:类似语法 二、登录页面分析 2.1 观察登录表单要素 账号输入框 密码输入框 验证码(如有) 2.2 初步测试 使用常见弱口令组合进行初步测试: 账号:admin 密码:123456 2.3 响应类型判断 根据返回信息判断网站类型: 密码错误 特征:明确提示"密码错误" 对策:检查密码是否加密,未加密则进行爆破 账号不存在 特征:明确提示"账号不存在" 对策:先爆破有效账号,再爆破密码 账号或密码错误 特征:不区分账号或密码错误 对策:尝试常见组合或进行爆破 限制登录次数 特征:提示尝试次数过多或账号被冻结 对策:建议放弃,寻找其他目标 三、爆破实战步骤 3.1 准备工作 工具:Burp Suite 字典:准备密码字典 3.2 操作流程 配置代理 开启Burp Suite代理 配置浏览器使用Burp代理 拦截请求 在目标网站输入测试账号密码 点击登录,确保请求被Burp拦截 检查加密情况 查看请求中账号密码是否明文传输 如加密则建议放弃 发送到Intruder 右键请求 → Send to Intruder 注意不要丢弃或放行请求,否则验证码可能失效 设置攻击位置 在Intruder的Positions标签页 选择密码参数,添加$标记作为爆破位置 配置Payload 在Payloads标签页导入密码字典 配置适当的攻击类型(通常为Sniper) 开始攻击 点击"Start attack"按钮 等待所有请求完成 分析结果 观察返回包长度差异 长度异常的响应可能对应正确密码 在网页上验证该密码 四、注意事项 成功率 挖不出漏洞是正常现象,不要灰心 建议以量取胜,多尝试不同目标 IP封禁 如发现所有返回包相同,可能是IP被封 解决方案:更换网络(如使用手机热点) 目标限制 新手避免测试政府、企业、金融等敏感网站 建议从教育类网站开始练习 工具准备 确保Burp Suite配置正确 准备高质量的密码字典 验证码处理 爆破过程中注意验证码复用问题 部分网站验证码可重复使用,部分则不行 五、扩展建议 字典优化 收集目标相关的常见账号密码组合 针对教育网站可准备学号、工号等特殊字典 自动化脚本 学习编写简单脚本实现自动化测试 注意控制请求频率避免触发防护机制 漏洞提交 发现漏洞后提交至正规漏洞平台(如教育SRC) 遵循负责任的漏洞披露原则 持续学习 关注各类登录认证机制的发展 学习新的漏洞挖掘技术和方法 六、免责声明 本教学文档仅用于网络安全学习和技术研究,任何使用本文所述技术进行的非法活动均与作者无关。请遵守相关法律法规,在获得授权的前提下进行安全测试。