Burp Suite实战：利用不同响应进行用户名枚举与密码爆破

这是一篇关于PortSwigger 中“用户名枚举与密码暴力破解” 的详细教程。实验室地址https://portswigger.net/web-security/learning-paths/server-side-vulnerabilities-apprentice/authentication-apprentice/authentication/password-based/lab-username-enumeration-via-different-responses#实验简介在Web安全测试中登录接口往往是最容易暴露漏洞的地方。今天我们将通过PortSwigger的“Username enumeration via different responses”实验学习如何利用服务器返回的不同错误信息先枚举出有效的用户名再暴力破解对应的密码。实验准备已安装Burp Suite社区版即可浏览器已配置Burp代理默认127.0.0.1:8080开启Burp的拦截功能或仅使用HTTP历史记录提供的字典有复制时注意换行1uesrname列表carlosrootadmintestguestinfoadmmysqluseradministratororacleftppipuppetansibleec2-uservagrantazureuseracademicoaccesoaccessaccountingaccountsacidactivestatadadamadkitadminadministracionadministradoradministratoradministratorsadminsadsadserveradslaeafaffiliateaffiliatesafiliadosagagendaagentaiaixajaxakakamaialalabamaalaskaalbuquerquealertsalphaalterwindamamarilloamericasananaheimanalyzerannounceannouncementsantivirusaoapapacheapolloappapp01app1appleapplicationapplicationsappsappserveraqararchiearcsightargentinaarizonaarkansasarlingtonasas400asiaasterixatathenaatlantaatlasattauauctionaustinauthautoautodiscover2password列表123456password12345678qwerty1234567891234512341111111234567dragon123123baseballabc123footballmonkeyletmeinshadowmaster666666qwertyuiop123321mustang1234567890michael654321superman1qaz2wsx7777777121212000000qazwsx123qwekillertrustno1jordanjenniferzxcvbnmasdfghhunterbustersoccerharleybatmanandrewtiggersunshineiloveyou2000charlierobertthomashockeyrangerdanielstarwarsklaster112233georgecomputermichellejessicapepper1111zxcvbn55555511111111131313freedom777777passmaggie159753aaaaaagingerprincessjoshuacheeseamandasummerloveashleynicolechelseabitemematthewaccessyankees987654321dallasaustinthundertaylormatrixmobilemailmommonitormonitoringmontanamoonmoscowBurp Intruder 实战步骤1. 抓取登录请求在浏览器输入任意账号密码如usernametestpasswordtest使用 Burp Proxy 拦截请求2. 发送到 Intruder右键请求Send to Intruder3. 用户名枚举攻击第一轮1️⃣ 设置 payload 位置选中自定义的username,点击Add §此时显示username§test§password123 只在 username 处添加 §2️⃣ Attack type选择Sniper3️⃣ 加载用户名字典使用实验提供的Candidate usernames4️⃣ 开始攻击点击Start attack5️⃣ 找到正确username点击排序 Length注意其中一条记录比其他记录长。将此有效载荷的响应与其他响应进行比较。注意其他响应包含消息Invalid username但此响应包含消息Incorrect password。记下“有效载荷”列中的用户名。排序后最长的那条Payload即我们要要找的正确的username它的response中会显示唯一的Incorrect password 结果判断响应内容含义Invalid username用户不存在Incorrect password用户存在 ✔得到了有效的用户名anaheim4. 密码爆破攻击第二轮1️⃣ 重置 Intruder点击Clear §2️⃣ 设置 payload 位置首先clearPayload粘贴密码字典点击paste同时注意修改usernameanaheimpassword§test§ 此时爆破 password3️⃣ 开始攻击Start attack5️⃣ 判断成功结果观察Status 列: 最终结果username anaheimpassword 666666字典是爆破与枚举攻击的核心基础直接决定攻击效率与成功率例如常用的SecLists 用户名字典、rockyou.txt 密码字典以及默认账号如 admin/root 的弱口令集合。