密码喷洒复现
1、使用查找子域名
找到了2个可用的分站
2、收集信息
①收集学号
通过谷歌语法搜索关键词可找到关键信息
通过各种方式进行信息收集可知道该学号是一组8位数的,并且知道了组成规律
马赛克是我后期打的,防止泄露他人信息
②收集密码
通过学校官网可找到初始密码
3、进行喷洒
因为我已知学号组成规律,所以我用豆包帮我根据此规律列了1000个学号作为字典,密码就用原始密码,接着使用burpsuite进行抓包,入侵。通过喷洒账户,我成功进入了2个同学的在线课堂和公益课堂。
因为已经脱敏所以看不到更有价值的信息
密码喷洒攻击是一种网络攻击手段,攻击者会使用常见的密码组合,对多个账号进行尝试登录,试图获取用户的账户信息。至此,希望大家定时修改密码或把密码设置复杂一些。
密码喷洒(Password Spraying)是一种常见的黑客攻击手段,在我国,实施密码喷洒行为涉及多方面的违法性。此篇文章仅用于学习。