%20(2).svg)
项目简介
本项目是借助phpstudy实现的注册登录平台,用于模拟暴力破解靶场环境。用户可通过该平台开展信息收集、密码本构建,并使用Burp suite进行暴力破解实验,深入了解暴力破解原理和流程。
项目的主要特性和功能
- 注册登录功能:提供用户注册和登录接口,模拟真实登录场景。
- 信息收集:访问网站页面,收集用户公开信息与密码规则信息。
- 密码本生成:提供Python脚本,按身份证后六位密码规则生成密码本。
- 暴力破解实验:结合Burp suite工具,用生成的密码本对选定目标账户进行暴力破解。
安装使用步骤
1. 环境搭建
将项目当作网站用phpstudy展现,按以下步骤构建数据库: - 通过phpstudy进入mysql主页,新建foundlove数据库。 - 构建名为users的表,字段数为3并执行。 - 设置三个数据并保存。 - 在网站源码的config.php文件下修改数据库配置,确保数据库用户名和密码与PHP study中的一致。
2. 访问验证
在浏览器中访问设置的域名,测试能否成功访问。若正常显示,在Register处注册新账户(邮箱:foundlove@outlook.com,密码:014523),若反馈注册成功,说明数据库连接成功。
3. 信息收集
- 在welcome首页收集用户邮箱和编号。
- 查看注册页面,了解密码规则(密码至少六位)。
- 进入登录页面,点击忘记密码选项,获取密码规则(密码为身份证后六位)。
4. 选定目标账户
在首页轮播中,选中一位用户(邮箱:foundlove@outlook.com,编号:124)作为攻击目标。
5. 生成密码本
在控制台运行python id_number.py,生成密码本passwords.txt。
6. 设置Burp suite
- 使用火狐浏览器,打开新标签,输入about:preferences,在常规部分滚到最下方进行网络设置,选择手动代理配置,使用127.0.0.1代理。
- 进入bp的proxy一栏,打开intercept,在火狐浏览器打开Found Love的网站,在Login登录选项随机输入密码,若bp能正常拦截,则代表设置成功。
7. 进行暴力破解
- 分析bp拦截的传输包,将可疑的password部分添加到Intruder中。
- 进入Intruder,在positions部分去掉不需要的可变因素,仅保留password为可变。
- 选择攻击模式为狙击手模式。
- 进入Payloads,加载之前创建的密码本。
- 点击Start Attack进入爆破,等待爆破结束。
- 观察进度和反应时长,发现异常时长时,点击Response查看是否有正确密码产生。
- 爆破成功后,回到foundlove网站,用邮箱密码登录。再次操作浏览器时,在bp的proxy处关掉intercept。若要再次进行实验,点击logout退出。
下载地址
点击下载 【提取码: 4003】【解压密码: www.makuang.net】