暴力破解漏洞

暴力破解漏洞

暴力破解：暴力破解是因为由于服务端没有做限制，导致攻击者可以通过暴力的手段破解所需信息，如用户名，密码，验证码等。暴力破解需要一个好的字典，不是越大越好，是需要越适合的密码表来破解更好，比如一个4位数字的验证码，破解范围就是在0000-9999，我们需要收录一个0000-9999的密码表或者自己制作一个。

暴力破解漏洞利用

一般情况下，系统中都存在管理账号：admin或者users，在上传页面中我们利用burpsuite进行抓包，在Infrader中选中密码爆破，导入密码字典并且开始爆破，这个过程很简单，当破解成功时有一个数据包的Length值跟其他的不一样，这个数据包的Payload就是爆破成功的密码，就不上图看了

 

爆破成功，在后台登录即可........