基础认证
HTTP基础认证暴力破解
挂上 BurpSuite 的代理,随便输个账号密码(比如: 账号aaa 密码 bbb)访问,查看 HTTP 响应报文:
得到提示 do u konw admin ?,于是猜测账号是 admin , 那么接下来就只需要爆破密码了
注意看到 HTTP 请求头部的 Authorization 字段:
Authorization: Basic YWFhOmJiYg==
Basic表示是[基本认证],后面的 YWFhOmJiYg== 用base64后是 aaa:bbb,也就是我们之前输入的 账号:密码
使用BurpSuite进行基础认证爆破
- 将报文发送到Intruder,将Basic后面base64部分添加为payload position
- 在Payload选项下,选择Payload Type为SimpleList,然后再Payload Options中点击load加载密码字典
- Payload Procrssing -> Add -> Add Prefix(添加前缀) -> 输入 admin:
- Payload Processing -> Add -> Encode(添加一个编码方式) -> 选择Base64 Encode
- Payload Encode 取消勾选的 URL-encode, 不然你会看到 base64 之后的 = 会被转成 %3d ,你就算爆破到天荒地老也不会出来
- Start Attack,然后按Status排序,看到状态码出现200的,即爆破成功
- 查看Response得到flag
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?