看到用户登录我们一般可以想到的逻辑漏洞:
1.密码长度,复杂度没有做限制
2.没有验证码
3.单独提示账号或密码错误
4.没有做用户唯一性判断
5.token验证
6.错误次数没有做验证
7.4位数字验证码
服务器端爆破(B/S)
一、token验证绕过
设置好了破解即可
二、验证码绕过
客户端爆破(C/S)
一、burter爆破ssh ,smb服务
更改协议即可实现破解不通服务
二、hydra破解账号密码
参数介绍
常用语句
hydra -L 用户名字典 -P 密码字典 -vV -e ns ip地址 服务