本文很基础,大牛请绕过只简单演示一下bp爆破,bp功能很强大,brute force也只是其中一个算是比较常用的功能吧,试验基于我搭建的一个WordPress测试平台,使用了弱口令,由于之前设置的admin的口令给忘了。。。这里就用一个普通作者身份的账号代替。。。用用简单的社工,将用户newbee的密码爆出来。其实这篇文章只是想测试一下公众号的原创功能~
进入博客,我们看看博客里面有没有什么有价值的内容。大体浏览了一下,发现这里有几篇博文,最值得关注的是一篇关于生日的文章,通过这篇文章,我们能够了解作者的生日信息,推出其出生年月,从而为构造密码进行爆破提供了可能!
这里使用的cupp,来生成字典。
cupp -i[+] Insert the informations about the victim to make a dictionary[+] If you don't know all the info, just hit enter when asked! ;)> First Name: newbee> Surname: newbee> Nickname: newbee> Birthdate (DDMMYYYY): 26021997
清除所有的§
在需要爆破的地方加上§
导入我们刚才生成的字典。
线程数设置为10。
都设置好之后,我们开始爆破。
我们新发现有一条记录的的长度为1067,而别的都为3716,并且状态码为302,即已登录,口令被爆了出来,为”newbee1997”!
我们使用得到的password进行登录测试,登陆后就可以在后台搞一些恶作剧了(如果是admin你懂得)~
通过本次试验发现弱口令简直毁一生啊~所以以后设置各种登录口令,一定要走点心啊!!我们还可以发现,收集信息也是一项非常重要的技能,个人信息 真的非常非常重要,也许在你不经意的几行文字里,就把你的银行卡密码给出卖了!!!发布信息,一定要三思而后行啊~