# 什麼是弱口令
很容易被電腦或者字典檔案猜到,就算他很複雜密碼。
# hydra
這個是 kali linux 內建的一個暴力破解的軟體。其實工具是非常強大的,但能不能破解取決於字典檔強不強大。
$ hydra -L <username_file> -p <password_file> <ip> <protocol> |
# burnsuite
- 先把瀏覽器的 proxy server 設定與 burnsuite 一樣,我自己測試的結果如果用 burnsuite 自己的瀏覽器,會出現一些莫名其妙的錯誤。
$ 127.0.0.1:8080 #這個是burnsuite預設的port
-
先把
Intercept is on, 這個是監聽封包的意思。喔對了,因為教學影片裡面是真的打,而我找不到能打的機器,所以用 DVWA 架設了一個。之後有空再教學。
![]()
-
右鍵找到 Intruder, 並點擊。
![]()
-
然後進去。裡面高亮的部分就是暴力破解的部分。如果想要自定義破解,可以選擇 clean, 在點擊兩下,並且 add。會出現他自定義的符號包起來你要破解的地方。
![]()
-
然後選擇攻擊類型。
![]()
-
Payloads 選擇。這邊以後有在詳細的介紹。第二個是選擇字典檔案。第三個選擇從字典拿到的密碼要用什麼的加密方式。
![]()
-
不過這邊我們遇到一個問題是,他的長度應該是要變化的,上網搜了一下是轉址的問題。
如果 username 和 password 要同時爆破,可以選擇四個模式的不同。
