前面两三天挖洞,运气还算不错,满打满算拿了10个弱口令
说来难也难,简单也简单。现在很多站已经习惯去上验证码,ip验证等。有的还比较好绕过,有的却是很难。其次是很多站管理员有了防范弱口令爆破的意识,还是比较难在信息不足的情况下盲目爆破。
很多技巧类似于先爆破账户看提示什么的就不多说了,简要提一嘴绕过ip和验证码。
ip这个用fake-ip的burp插件即可,这个成本不高
绕过验证码则用captcha-killer 这个插件,但是它用的API价格还是蛮高的(现在是1元500次),所以练习也不太考虑使用,据说正确率还不错的样子。
至于字典,这个上gayhub找fuzz就有蛮多的,按需取用吧,谢谢大佬们的无私付出。
中秋节前一天还拿到了个菠菜后台,这边交给了学校老师和师兄们,还是挺有成就感的,虽然也只是弱口令进去的,有手就行.....
以上,我认为弱口令这块把三样搞熟,可能会好些(字典,ip,验证码)。但总体来说,可能再过个四五年弱口令会更少吧?也不好说,毕竟现在人要注册的平台这么多,不是弱口令的话就得对该人进行信息搜集了?
