Burp Suite暴力破解(四种攻击方式)

于 2024-01-21 18:28:42 发布
阅读量1.5k 收藏 14
点赞数 10
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77139301/article/details/135732280
版权

一、准备

用火狐浏览器进入Dvwa靶场,并修改为low级别,并打开BP代理

选择Brute Force

打开Burp Suite,找到代理打开拦截

在靶场中,随便输入用户名,密码后登录

此时发现BP已经抓到包了,可以看到刚刚输入的账号和密码

然后ctrl+i发送到攻击器(Intruder),打开攻击器

接下来开始尝试四种爆破攻击方式

二、启动!

1.Sniper

Sniper:对变量依次进行暴力破解

sniper:狙击手,表示如果爆破点设置一个,simplelist如果是6个,就执行6次,如果爆破点设置两个,则执行12次,一般这个模式下只设置一个爆破点,因为如果用户名和密码都不知道的情况下不会使用该模式去爆破。通常用于在知道用户名后,对密码进行爆破。

所以我们把username的内容改为正确的(admin),点clear清除所有标记点,然后选中password点add添加进标记点,点击进入payload

添加payload,其中包含一个正确的为(password),点击strat attack开始攻击。

发现有一个返回的length不同,选中然后点击Response,点击页面渲染,发现找到了正确密码为(password)

2.Battering ram

Battering ram:对变量同时进行破解

battering ram:工程锤,表示两个爆破点使用同一个payload依次去执行,如果simplelist是6个,那么就执行6次。

攻击类型换成Battering ram,添加username、password两个标记点

切换到payload,添加几个payload,开始攻击

发现length都一样,没有正确的

3.Pitchfork

Pitchfork:每一个变量标记对应一个字典,一一对应进行破解

pitch-fork:叉子,这个模式下,表示两个爆破点,并且会设置两个payload1和payload2,payload1就设置给爆破点1,payload2就设置给爆破点2,总共也是执行6次。并且一般按照payload少的执行

改变攻击方式为Pitchfork

输入payload

开始攻击

发现找到正确账户和密码

4.Clusterbomb

Clusterbomb:每个变量对应一个字典,并且进行交叉式破解,尝试各种组合。适用于用户名+密码的破解

cluster bomb:集束炸弹,表示如果有两个爆破点,同时设置两个payload1,和payload2,simplelist是6个和7个,那么就会执行一个笛卡尔积的次数。即就是42次

在位置中改变攻击方式为Clusterbomb,然后输入payload

开始攻击

发现找到了正确账户和密码

Kaitou—Kiddo
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【第十篇】使用BurpSuite进行用户名、密码爆破(实战案例)
等风来
04-06 645
123456、123等通常为弱口令,在某些环境下若登录框存在提示(如请输入4位工号),故在登录框可爆破用户名;若不存在提示,可添加用户名字典进行爆破。设置两个payload集,其一添加用户名字典,其二添加密码字典。在已知用户名(如ice)的情况下,可通过添加密码字典进行爆破。3、用户名+密码双重爆破。
Java Web开发过程中登陆模块的验证码的实现方式总结
12-25
验证码及它的作用 验证码为全自动区分计算机和人类的图灵测试的缩写,是一种区分用户是计算机的公共全自动程序,这个问题可以由计算机生成并评判,但是必须只有人类才能解答.可以防止恶意破解密码、刷票、论坛灌水、有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登录。 图文验证码的原理 在servlet中随机生成一个指定位置的验证码,一般为四位,然后把该验证码保存到session中.在通过Java的绘图类以图片的形式输出该验证码。为了增加验证码的安全级别,可以输出图片的同时输出干扰线,最后在用户提交数据的时候,在服务器端将用户提交的验证码和Session保存的验证码进行比较。 实现方式
burp suite的使用——爆破帐号密码
weixin_43996007的博客
01-06 1万+
burp suite的使用——暴力破解帐号密码 burp suite的介绍 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个HTTP 的请求消息,并能处理对应的http消息,持...
1、使用BurpSuite暴力破解登录密码
D516701881的博客
12-17 1万+
1、使用BurpSuite暴力破解登录密码1.环境准备1.1 PC端设置BurpSuite设置代理1.2.靶机环境2.密码破解漏洞2.1.漏洞简介2.2.常见应对策略2.2.1.强密码策略2.2.2.验证码策略2.2.3.锁定策略2.2.4.加密策略2.2.5.TOKEN验证码3.密码破解攻击3.1.环境配置3.2.抓包3.3.配置攻击3.3.1.攻击类型3.3.2.目标字段3.3.3.有效载荷3.3.4.选项配置3.4.执行攻击 1.环境准备 1.1 PC端设置BurpSuite设置代理 打开BurpSu
Burpsuite破解用户名和密码
m0_73792568的博客
02-03 3152
Burpsuite破解用户名和密码
纯干货| 如何利用 Burp Suite 进行密码爆破
最新发布
q—qun1150305204的博客
12-29 2435
​ 使用 BP 工具的 Intruder 模块高度可配置,可以对目标网站进行密码爆破,一般被用于网站的安全渗透测试场景 它的工作原理是,在原始网络数据包中,利用不同的变量值对请求参数进行替换,然后模拟请求以获取不同的响应结果,以此达到爆破的目的 ​
Burp Suite靶场练习——暴力破解(pikache靶场)
p36273的博客
06-05 4253
靶场一共有4关,现我们就开始通关吧。Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。Token 完全由应用管理,所以它可以避开同源策略Token 可以避免 CSRF 攻击Token 可以是无状态的,可以在多个服务间共享BurpSuite爆破的几种模式攻击模式。
暴力破解(Burte Force)
热门推荐
西电卢本伟的博客
04-05 1万+
暴力破解弱口令,pikachu靶场
BurpSuite暴力破解
weixin_47197003的博客
01-11 6195
BrupSuite暴力破解
网络安全工程师必知的暴力破解知识
weixin_51725318的博客
11-22 1302
网络安全工程师必知的暴力破解知识
手把手教你暴力破解
weixin_51513059的博客
11-01 7096
DVWA-暴力破解 手把手教你暴力破解
burp suite1.7.30永不过期无限制破解版
01-17
Burp Suite专业版,价格每年300美元。 速度最快、扫描结果最好的测试工具! 秒杀其他一切工具!!! 无限制,无限制! 最新版,永不过期,永不过期,永不过期!!! 本人上传资源中有5个需要绑定机器(或解压密码),因资源特殊性,不保证每一个人都会给注册码,一般同时下载这5个的,会给其中一或两个注册码(或解压密码),请按说明发邮件给我,注明想要注册的项目和机器码 读秀自建库17页限制突破神器-更新 04读秀自建库书表制作神器教程 “世界上最好用的邮箱采集提取软件”使用教程 读秀自建库17页限制突破神器-更新使用视频教程 广西医科大学书表
Burp suite Pro破解版(解压后去电后缀.bat).zip
05-28
通过拦截HTTP/HTTPS的web数据包,相当于充当浏览器和相关应用程序的中间人,在进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀
数据库放到DB目录防止被下载插件 for z-blog
04-23
可能有些朋友并不知道,access数据库可以被人使用下载工具下载,那有些人会问,被下载会怎么样?你的数据库里面有你的管理员账号密码,不需要暴力破解黑客就可以进入你的后台了,那么你专有对数据库的增、删、改权利就被别人获得了,你说会怎么样呢。还有就是,如果你的网站数据库里面有大量的会员,这些会员的资料也被外泄了,反正具有商业价值的东西都无一幸免,那么怎样防止自己的数据库被下载呢... ... 上网查一下,方法数不胜数。前辈们的高招的确很有用,下面简单列举一下: 数据库加密 这样做的几乎没什么好处,第一是数据库一样可以被别人下载,第二是密码可以用软件破解。 数据库文件名 在文件名中加 # ,这样做已经可以用URL编码来破解了。 数据库扩展名 把.mdb改成.asp,这样做不能下载,但是可以在浏览器中打开,然后复制下来转换成.mdb。 数据库中加上notdownload表(比较实用) 这样做别人用浏览器打开就会显示错误,彻底防止了下载。 回到本文正题,虽然上面各有优缺点,细数一下,第四个是最安全的,但是会有错误提示,比较不舒服,也比较麻烦,对不懂程序不懂代码的朋友来说比较麻烦,那么我介绍的是怎么一回事呢? 大多数虚拟主机登录FTP之后都会有三个目录:“log” “db” “web” log目录是存放网站访问日志的 web目录是存放网站文件的,你的域名访问的就是这个目录。 db目录就是专门用来存放数据库的,也有些目录名字是 databases 虚拟主机不同,文件名也有所不同。 那么只有web目录是域名才能访问的,打个比方,zblog程序默认的数据库就是放在data目录下面文件名一般都是以这样的形式来命名的 #%2s5c2s1w2ds45a2w2s1d5.mdb,然后你上传了zblog程序之后,数据库文件就是放在web目录下面的data目录里面。别人就可以通过 http://www.liyongquan.com/data/#%2s5c2s1w2ds45a2w2s1d5.mdb 这样的地址来下载你的数据库。 为了防止这种情况发生,主机商都有db目录,你只需要把数据库转移到db目录,然后修改根目录下面的 c_custom.asp
burpsuite破解版
10-14
burpsuite_pro_v1.4.07+破解版 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。
Burp Suite
11-30
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、...
BurpSuite v2.1.zip
07-07
Burpsuite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的Burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以...
Burp Suite 下载
09-06
Burp Suite 是用于攻击web应用程序的集成平台,包含了许多工具。同时还可以做抓包分析、密码暴力破解等,是比较常用的一款网络安全的工具。 对于需要其他的网络安全及计算机方面的工具也可以给我私信哦~~~
burp suite暴力破解流程
06-09
Burp Suite 是一款功能强大的 Web 渗透测试工具,其中包含了许多模块,其中一个是 Intruder,可以用于暴力破解。下面是使用 Burp Suite Intruder 进行暴力破解的流程: 1. 在 Burp Suite 中打开要攻击的目标网站,并进行代理设置。 2. 打开 Intruder 模块,并在 Target 标签页中设置要攻击的网址。 3. 在 Positions 标签页中设置要进行暴力破解的用户名和密码字段。 4. 在 Payloads 标签页中设置用户名和密码的字典文件,并配置其他参数,如字符集、分隔符、前缀、后缀等。 5. 在 Options 标签页中设置攻击参数,如并发连接数、超时时间等。 6. 点击 Start Attack 按钮,开始进行暴力破解。 需要注意的是,暴力破解是一种不合法的攻击行为,应该在合法授权的情况下进行,否则可能会涉及违法行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值