一看题目:
image.png
提示遇到5位验证码时可以爆破
进去之后是个登录页面:
image.png
随便输入一些字符之后点击 登录,发现都是登录错误:
image.png
f12看看,也没有发现什么,不过想到提示说要爆破,emmmm百度一下,参考这位大佬:
https://blog.csdn.net/Blood_Pupil/article/details/80960059#_67
f12中可以看到表单的用户名,密码所对应的ID,以及表单所提交的方式:
image.png
可以使用hydra作破解,这个破解的原理是暴力破解,就是以用户名和密码匹配的极致,一个一个对应的登录这个界面,直至登录成功,不适用与带有验证码的登录系统。
在kali的终端中输入:
image.png
其中hydra当然是调用工具的命令了,-l是设置一个用户名, -P是以一个文件序列作为破解的密码集合,这里使用了kali自带的一个密码字典(弱口令密码),-vV是显示执行过程,-f是让它爆破到密码后停止,-t是表示使用多少个线程,其取值为1~64 ,紧接着后面输入靶机的IP,之后就是提交方式和前缀,还有一个form是表单(IP地址后面跟着的一个长串),最后设置的是页面的错误提示信息(应该是用于验证是否登录成功,这里定义为login failure,是登录进去之后错误的提示)
开始爆破,在成功的时候会有提示:
image.png
可以看到用户名为admin,密码为admin123。
使用这个登录登录进去,显示:
image.png
emmmm没了? 我还是回去找找源码吧...不过这题的意思就是让我们把密码炸出来。
回去看看源码,发现是这个:
image.png
这个链接有一些hydra命令的解释,可以参考:
http://www.360doc7.net/wxarticlenew/444659237.html
