WooYun.org

另类绕过https加密~
首先来到金融界的首页：
看到有个登陆，我们点进去

来到登陆页面以后可以看到整个页面全部是https加密协议的

众所周知https加密的话是无法抓包的，既然抓包都抓不到那还谈什么暴力破解和撞库，到了这里就要放弃了，但是我无聊啊，就去网上找各种绕过https加密协议抓包的方法，也是有的，但是都太深奥，我看不懂。。
再次来到了登陆的页面，盯着地址栏，然后突发奇想，你不是https加密协议吗，不就是多个s，我把你的s去掉不就完了，其实也就是想想，没想到真的可以。。

既然https加密协议没了，那也不知道能不能抓到包，只能试试了，结果成功抓包。。

这里抓到的包只有用户名是明文传输的，而密码是密文的，这样只能暴力破解无法撞库啊。。等会儿。。密码算法看着好耳熟，我擦不就是普通的MD5加密么

然后呢？然后我就邪恶的开始了暴力破解。。这里只是跑了一小下，跑出来了几个就停了，因为我IP已经被封了

对于IP绕过的话，因为我这里是随机生成用户名暴力破解，所以错误率很高，但是如果我撞库的话，成功大大提升，IP被封限制将会很小，就算被封，我大乌云知识库不还有burp更换IP吗？IP绕过的手法就太多了吧~这里主要还是针对https的加密协议绕过。。绕过。。过。。。
登陆一下成功爆破出来的几个看看全部成功~