小白--弱口令
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
本文介绍了如何通过搜索引擎和工具(如Burp)收集和破解登录信息,重点在于分析登录页面反馈、使用字典进行密码爆破,并强调安全合规性及挖掘弱口令的技巧和注意事项。
🎯
关键要点
- 文章介绍了如何通过搜索引擎和工具收集和破解登录信息。
- 常见的空间搜索引擎包括fofa、360quake、鹰图和shodan。
- 使用百度和谷歌等搜索引擎可以找到含有登录框的网站。
- 观察登录页面的反馈信息,如账号、密码和验证码。
- 使用burp的爆破模块配合密码字典进行密码爆破。
- 根据返回包的长度判断是否成功破解密码。
- 如果账号不存在,可以使用账号字典进行爆破。
- 在账号或密码错误的情况下,尝试常用的账号密码组合。
- 如果登录次数受到限制,可以尝试其他网站。
- 使用burp工具进行拦截和分析登录请求。
- 注意不要随便攻击政府、企业和金融等网站。
- 免责声明强调技术信息仅供参考,使用需谨慎并遵守法律。
- 文中技术内容可能不适用于所有情况,需自行测试和评估。
❓
延伸问答
如何通过搜索引擎找到含有登录框的网站?
可以使用fofa、360quake、百度和谷歌等搜索引擎,搜索包含“登录”关键词的页面。
在登录页面观察哪些信息可以帮助破解密码?
需要观察账号、密码和验证码的反馈信息,如错误提示和账号冻结情况。
如何使用Burp工具进行密码爆破?
使用Burp的爆破模块,配合密码字典,通过返回包的长度判断是否成功破解密码。
如果账号不存在,应该如何进行密码爆破?
可以使用账号字典进行爆破,尝试不同的账号组合来找到有效账号。
在进行密码破解时需要注意哪些法律和道德问题?
不要随便攻击政府、企业和金融等网站,需遵守法律法规。
如果Burp的返回包长度相同,可能是什么原因?
这可能是因为IP被封了,建议更换网络进行尝试。
➡️
