暴力破解-HTTP Basic認證

0x01 HTTP Basic認證介紹

基本認證 basic authentication ← HTTP1.0提出的認證方法windows

基本認證步驟:     瀏覽器

1. 客戶端訪問一個受http基本認證保護的資源。     服務器

2. 服務器返回401狀態,要求客戶端提供用戶名和密碼進行認證。            401 Unauthorized            WWW-Authenticate: Basic realm="WallyWorld"     網站

3. 客戶端將輸入的用戶名密碼用Base64進行編碼後,採用非加密的明文方式傳送給服務器。            Authorization: Basic xxxxxxxxxx.     編碼

4. 若是認證成功,則返回相應的資源。若是認證失敗,則仍返回401狀態,要求從新進行認證。加密

0x02 環境搭建

這裏使用Windows 2003來進行環境搭建。spa

名爲flag的網站,裏面只有一個flag.txt。blog

右鍵屬性,進行相應更改。資源

修改完成後,瀏覽器進行訪問。會彈出驗證框,須要輸入windows 2003的用戶名及密碼才能查看flag.txt的內容,不然返回401。io

0x03 使用burp進行分析

這種在進行用戶名及密碼的傳輸中是使用了base64加密的。

因此進行暴力破解時,須要將字典文件進行base64加密,才能正常破解。

0x04 爆破用戶名、密碼

相關文章
相關標籤/搜索