[사전파일 생성]

mkdir /pentest

cd /pentest

cat > passwordlist.txt

password
Password
Passw0rd
P@ssword
admin
passwordadmin
adminpass

 

 

cat >userlist.txt
root
kevin
pyw
admin
administrator
trump

 

 

 

[메타스플로잇]

1. Brup Start burp를 통해 bruteforce 공격

password 사전파일 로드.
로드된 이미지.

 

 

2. 인터셉트를 키고 로그인.

Clear$를  통해 초록 줄을 삭제.
123만 드래그해서 add$
위와같이 초록줄이 생기면 성공.
스타트를 눌러 공격 시작.
admin에 맞는 비밀번호만 길이가 다르다.

 

 

[id와 패스워드 둘다 모를 때]

Cluster bomb로 변경.
1번째 인자 값은 id이므로 idlist를 로드.
2번째 인자값은 password기에 passwordlist 로드.
길이가 다른 하나가 답이다.

'Web Security' 카테고리의 다른 글

SQL  (4) 2019.04.04
CSRF(Cross Site Request Forgery)  (0) 2019.04.02
crunch [사전파일생성]  (0) 2019.04.02
XSS(Cross Site Scripting) ,Session hijacking(BeEF)  (0) 2019.03.29
RFI(Remote File Inclusion)  (0) 2019.03.27

+ Recent posts

티스토리툴바