前言

小白博主和小白一起前行

信息搜集

首先，我们要收集含有登录框的网站。

常见的空间搜索引擎有fofa、360quake、鹰图、shodan。常见的搜索引擎有百度、谷歌。

fofa空间搜索引擎网页https://fofa.info/

语法：body="登录" && org="China Education and Research Network Center"

搜索HTML正文包含“登录”关键词的页面，并且这些页面属于中国教育和科研计算机网中心组织

360quake空间搜索引擎网页https://quake.360.net/

语法：body="登录" && org="China Education"

搜索HTML正文包含“登录”关键词的页面，并且这些页面属于中国教育组织

百度搜索引擎网页https://www.baidu.com/

语法：site:.edu 登录

观察

由于本篇文章的立意是挖弱口令，所以我们主要关注和登录有关的点。

观察登录需要填入什么。 如账号、密码、验证码。

我们可以先输入账号admin密码123456看看页面有什么回显。

如密码错误、账号不存在、账号或密码错误、尝试多少次之后冻结账号。

如果是密码错误 我们可以先看一下密码有没有加密（有加密的话直接下一个网站，以量取胜）。然后使用burp的爆破模块配合密码字典进行爆破，再通过返回包的长度来判断是否爆破出来了。

如果是账号不存在 也很简单，对应的先拿出我们的账号字典，爆破账号有哪些。然后再使用这些账号爆破密码。

如果是账号或者密码错误 这个情况不会提示我们有没有这个账号，这个时候主要靠手敲，填写使用率比较高的账号密码来碰碰运气，听天由命。如果我们不信邪也可以试试账号为admin密码使用字典进行爆破。

如果是限制登录次数 这时候我们就可以准备好下一家吧。天涯何处无漏洞，何必单恋这一家。临走之前送他一个账号admin密码admin123或者123456的小礼包，告诉他们我们曾经来过。他也会谢谢我们从他的全世界路过。

这个网站给的是账号或者密码错误，我给大家演示一下怎么使用burp爆破。

先打开burp，开启浏览器的代理然后进行拦截。

点击一下这个位置就可以开启代理。然后在我们的网站处输入账号密码验证码。

再次点击登录，此时burp就抓住这个包了。我们要看一下有没有对账号密码进行加密，如果加密了就下一家。

可以看到账号密码都没有被加密，右键这个包会显示一个发送到intruder（这个就是我们的攻击模块），记住不要把这个包丢弃或者放行，否则验证码不可以复用（重复使用）。

选上我们的密码，然后点击添加payload位置$，然后在payload的页面导入我们的密码字典，然后点击开始攻击。

我们等待他发完所有包然后双击长度观察有没有长度特殊的。

可以看到有一个和其他的长度不一样，这个长度对应的密码就是这个账号的密码。我们在网页上输入这个账号和密码进行登录。

成功登录。这个弱口令就挖到了，可以交到教育src平台。

注意挖不出漏洞是很正常的事情，不要灰心，慢慢来。

注意如果burp的返回包是一样的也可能是ip被封了。如果你贼心不死，可以换一个手机号开热点，不要连接自己家的网络去挖漏洞。

注意小白不要随便打政府、企业、金融等网站。

需要burp工具或者字典的可以私信我。

关注小白，小白和你一起进步。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）