大力出奇迹——Python暴力猜解Web应用
Learn by doing
盗号这种事向来都让人有些着迷,经常想象拿到别人密码之后各种翻箱倒柜,做一些恶趣味的事......然而没有一种万能的方法达到这个目的,挖洞利用门槛高,有时也没这个必要,所以暴力猜解就成为唯一的选择。字典?暴力猜解?让我们来用Python大干一番!
本教程由 GeekJinj 发布在 实验楼 ,完整教程及在线练习地址: Python暴力猜解Web登录
一、实验说明
本实验使用wordpress作为测试对象,使用模拟登陆和暴力猜解来获取wordpress管理员的登录密码。
1.1 知识点
- wordpress安装配置
- 模拟登陆
- Python requests/threading/itertools/Queue 包的使用
- 多线程暴力破解
1.2 效果图
1.3 实验准备
1)下载并安装wordpress
首先安装并我们用到的CMS即wordpress,以下简称wp。
$ sudo apt-get update
$ sudo apt-get install wordpress
$ sudo cp /usr/share/wordpress /var/www/html -rf
$ cd /var/www/html/
$ sudo chown -R www-data:www-data wordpress
$ sudo touch /etc/wordpress/config-localhost.php
2)配置数据库及 wordpress 账号
使用mysql数据库作为 wordpress 的数据库,创建 wordpress 将会用到的数据库和相应的数据库用户账号并分配权限。
$ sudo service mysql start
$ mysql -u root
>create database wordpress;