信息安全技术(二)用户名枚举

2021计算机网络技术1班姚梅英 2023-05-25 20:56:42

用户名枚举

要破解用户/密码验证机制的第一步是发现有效的用户名。方法之一是通过枚举,枚举web应用程序中的用户是通过分析在登录、注册和密码恢复页面等位置提交用户名时的响应来完成的。几乎所有的应用程序都为用户提供了在忘记密码时恢复或重置密码的渠道。当不存在用户名时,这些应用程序也能识别出来,这可以用来枚举出现有名称的列表:

1.靶场:
先打开靶机 :OWASP BWA
查看靶机的IP :192.168.137.132

1.打开kali-linux 2022.4 点开左上角的蓝色图标 在搜索栏输入burp

2.就会看到 然后双击开会弹出一个方框 点击OK,接着点击右下角Nest

 3.接着点击右下角的start burp等待反应进入到该页面

点击第三个prory下的intercept下的 openbrowser跳出一个弹窗点击ok

 4.点开有一个小例如设置小图标的选项 点击Tools下的Burp’s browser勾选(每台不一定都一样)

 再次点击openbrowser就会出现另一页面

 5.在搜索栏输入靶机的地址 :192.168.137.132

 6.点OWASP WebGoat 接着跳出一小窗口 输入用户名和密码webgoat

 

进入到webgoat页面 点击start webgoat点击uthentication Flaws,会出现Forgot Password等下拉菜单

选择Forgot password,弹出输入User Name的页面,如果没有可以点击Restart this Lesson

提交任意用户名(例如xshell),我们提交任意用户名,而该用户在数据库中不存在,我们将收到一条消息,说该用户名无效:

. 然后可以假设,当提供了有效的用户名时,响应是不同的。下面要对此进行测试,请将请求发送Intruder模块。在Burp的Proxy/HTTP history中,我们找到刚才输入User-name是xshell的那个数据包,如下图示:

对该数据包单机右键选择Send to Intruder

 进入Intruder模块,设置用户名作为唯一要破解的位置:点击Clear

 在最后一行,Username=xshell处,选择xshell,在点击Add§按钮

 

然后,转到Payloads来设置我们将在攻击中使用的用户字典列表。保持默认类型为简单列表,然后单击Load按钮来加载/usr/share/wordlists/metasploit/http_default_users.txt文件:

现在我们知道了用户不存在时的响应,我们可以使用Burp告诉我们该消息何时出现在结果中。转到Options | Grep – Match清除列表。

 

勾选Flag result items with responses matching these expressions,添加一个新的字符串来匹配Not a valid username:然后点击Add。

 

返回Intruder | Positions,点击Start attack,开始攻击。

请注意,有一些名称(如admin),其中无效用户名的消息没有使用Burp Suite标记,这些名称在应用程序中是有效的:

输入用户名admin,What is your favorite color?输入green,可以看到密码,也就是用户名admin是正确的,用户名root的颜色是green

收获:Proxy代理模块作为BurpSuite的核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。首先建立代理监听(Proxy–> Options功能下),可以看到默认值127.0.0.1,端口8080(可以点击Edit进行修改,或者添加新的监听端口)。然后打开浏览器,点击Preferences->Privacy->Advanced->Network->Settings,设置HTTP代理和端口。

总结:Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大虽接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一 robust 框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报帑和可扩展性。Burp Suite 允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。这些
不冋的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一
种工具使用的方式发起攻击。

心得:burpsuite做什么的,你懂得。关键要使用好的第一步就是代理的设置,当你在浏览器360的记得使用时时你登录某网站时就可以用burpsuite监测了,proxy中的forward可以多次使用,当有链接被捕捉到,可在Target中看到是否爬虫。
 

...全文
29 回复 打赏 收藏 转发到动态 举报
写回复
回复
切换为时间正序
请发表友善的回复…
发表回复
相关推荐
2019网络安全超详细入门教程
从零基础快速入门网络安全,一套课程带你掌握网络安全技术。侧重实际操作。
用户名枚举/邮箱轰炸攻击
用户名枚举 漏洞描述 该漏洞存在于系统登陆页面,利用登陆时输入不存在用户名和正确用户名但密码错误时的回显信息不同这一特点,可枚举出系统中存在的账号信息。 漏洞影响 攻击者可借此漏洞枚举出系统中存在的所有账号,造成信息泄露,随后可针对这些用户名进行暴力破解或其他攻击尝试。 修复建议 该漏洞可以通过设置输入“不存在用户名”和“正确用户名但密码错误”的回显信息相同——例如“用户名或密码错误”来防范。 除此之外,还可以结合常见的防范暴力破解的方法: 增加安全的人机验证机制(例如验证码),并且验证码
用户名枚举漏洞
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。当输入不存在的用户名时,系统提示“登录失败,不存在用户名!综上,根据返回信息的不同可不断枚举出系统存在的用户名信息。当输入存在的用户名时,系统提示“登录失败,密码错误!输入任意账号密码尝试登录。
浅谈“用户名枚举
一:漏洞名称: 用户名枚举 描述: 存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。 检测条件: 存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。 检测方法: 已知Web网站具有登录页面。 登录错误回显不一至。 漏洞修复: 找到网站或者web系统登录页面。 在web系统登录页面,通过手工方.
基于SSM的网络论坛(毕设)
1,项目功能:注册:用户输入用户名,密码,邮箱等信息进行注册。其中用户名,密码,邮箱不能为空,密码不能少于6位,邮箱必须包含@符号等进行验证,若验证不通过会有提示框。注册成功实现自动登录,并跳转到主页面。登录:通过输入用户名和密码进行后台数据库验证,若验证的用户名和密码在数据库中存在且正确即为成功,跳转到主页面,若不成功,提示用户名或密码错误。浏览文章;可以浏览其他用户发的贴子或者文章。文章搜索:游客可以根据文章标题进行搜索功能。查看文章详细信息:可以查看文章的详细信息。查看热门文章:可以查看热门文章。板块信息查看:可以查看板块信息。点赞、评论、收藏:对文章可以发表评论,点赞,收藏,对自己发表的评论可以删除对喜欢的用户可以加关注或者取消关注。我的主页:可以查看个人信息和修改个人信息,同时也可以查看到我的关注,我的收藏信息和我的评论信息。我的相册:可上传本地照片到自己的相册,并对相册进行编辑操作。用户管理:可以查看所有用户信息,并删除。文章管理:审核用户发的文章有无敏感词汇,可审核通过和拒绝。板块管理:查询所有板块信息,新增,修改,删除板块。      适合做毕业设计参考项目。2,涉及技术:SSM框架,Tomcat3,开发环境:IDEA,MySQL数据库4,讲解方式:从环境安装,项目搭建,以及项目介绍等进行讲解5,包含资料:项目源码(含数据库文件),环境安装包,项目文档。
柳州职业技术学院

707

社区成员

113

社区内容

发帖
与我相关
我的任务
社区描述
柳职院电子信息工程学院同学们的学习园地
社区管理员
  • c_university_1974
  • zhuisir
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

各位加入社区的同学,请完善社区信息,把社区昵称改为【班级-姓名】,社区签名改为【班级-学号-姓名】的格式

如【社区昵称】20计应1班  张某某(班级用简称)

     【社区签名】2020级计算机应用技术1班 20201234567 张某某 (班级用全称)