0x01 HTTP Basic认证介绍
基本认证 basic authentication ← HTTP1.0提出的认证方法
基本认证步骤:
1. 客户端访问一个受http基本认证保护的资源。
2. 服务器返回401状态,要求客户端提供用户名和密码进行认证。 401 Unauthorized WWW-Authenticate: Basic realm="WallyWorld"
3. 客户端将输入的用户名密码用Base64进行编码后,采用非加密的明文方式传送给服务器。 Authorization: Basic xxxxxxxxxx.
4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。
0x02 环境搭建
这里使用Windows 2003来进行环境搭建。
名为flag的网站,里面只有一个flag.txt。
右键属性,进行相应更改。
修改完成后,浏览器进行访问。会弹出验证框,需要输入windows 2003的用户名及密码才能查看flag.txt的内容,否则返回401。
0x03 使用burp进行分析
这种在进行用户名及密码的传输中是使用了base64加密的。
所以进行暴力破解时,需要将字典文件进行base64加密,才能正常破解。
0x04 爆破用户名、密码
