主にパスワードブラスティングを調査します
Django靶场Django: 期限のある完璧主義者のための Web フレームワーク。
必要とする:
SQL インジェクション テストの質問では、脆弱性 django-cve_2019_14234 を使用して、クラスにちなんで名付けられたファイルをシステムに書き込みます。
1. 射撃場に入るとインターフェースが表示されます。
関数authenticucate (認証クライアント)を使用して既存のユーザーを認証します
以下の図からわかるように、ユーザー admin が存在します。
2. ユーザーログイン
ログイン インターフェイス URLログイン | Django サイト管理者
ログインインターフェイス、既知の情報ユーザー管理者、不明な情報パスワードを入力します。
Burpsuite Pro でブラストする
2.1Burpsuite爆破
ローカルプロキシ機能を有効にする 127.0.0.1:8080
Firefox ブラウザのプラグインFoxyproxy を使用してプロキシ機能を有効にします
射撃場のログイン インターフェイスに戻り、エージェントがパケットをキャプチャできるようにします。
Burpsuiteが取得した情報
[侵入者に送信] を右クリックし、位置インターフェイスに入ります。
右側の Clear は変数をクリアし、変数のパスワードを保持します。爆破方法はスナイパーです。
ペイロード インターフェイスに入り、辞書ブラストを使用することを選択しました。一般的に使用される 6,000 個のパスワードの辞書をダウンロードしました。使用する必要がある場合は、公式 Web サイトにアクセスしてダウンロードしてください。
[ロード...] をクリックして、ダウンロードした辞書をデスクトップにロードします。
右上隅から爆破が始まります
長さを観察すると、パスワードは a123123123 です。
3. ユーザー情報の挿入
ユーザーの追加ユーザー
ユーザー情報を追加する
正常に追加されました