bp官方靶场Authentication vulnerabilities身份认证漏洞6

第六关 暴力破解保护，IP 阻止

这一关就是暴力破解受害者的密码，然后进行登录。

具体操作

1、测试登录有没有限制

连续登录三次失败，ip就被阻止访问了，要等一分钟以后

在经过多次测试发现连续2次登录失败，然后成功登陆1次，不会触发锁定，这种模式可以无限循环（也就是说通过登录自己正确的帐户来重置失败登录尝试次数的计数器）

2、知道了登录规律，直接进行爆破

3、去http history里找到触发登录功能的post数据包，然后发往intruder（相关操作看第一关）

4、修改下爆破用到的用户表和密码表

修改的表，要确保用户名和密码保持一致，要对得上，符合登录规律，比如以下两个表行数都是151

修改用户名表排在第一的写自己的用户wiener，后面写两个carlos以此循环carlos至少写100个，最后写wiener，我这里写到了151行

修改密码表，先填写正确密码，失败两次再填写正确密码，以此循环

来爆破页面

选择草叉模式爆破

给用户和密码都设置成变量

payloads设置：两个位置都选择简单列表，把刚刚修改的两个表的数据复制过来

如图线程设置一个个爆破，间隔一秒

开始攻击

爆破成功，找到不同

密码：121212

如靶场通关