利用burpsuite爆破有验证码的弱口令

已于 2024-05-28 11:59:24 修改
阅读量1.2k 收藏 30
点赞数 28
文章标签: 网络安全
于 2024-05-28 08:25:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80453793/article/details/139247951
版权

一、搭建海洋网站

将此文件夹下的东西全选复制到phpstudy下的www文件夹里面。在www文件夹下最好在创建一个文件夹,名字要一个英文名字。需要注意创建的文件夹的权限问题。建议所有组或用户名均完全控制。

在浏览器中输入http://localhost/haiyang/则会显示此页面。然后点击我已知再选择继续

此页面不需要更改东西,点击继续即可

随便取一个数据库密码和更改管理员初始密码,最后点击开始安装。

在浏览器·中输入http://localhost/haiyang/8ccho/ 访问以下页面则表示创建成功。

二、安装burpsuite插件

(一)、安装Python的插件

(1)、首先环境需要是Python3.6

然后点击运行此文件夹最后一个文件

不要关闭cmd然后用浏览器访问http://127.0.0.1:8899 最后进入此页面

(2)、在此面输入admin,密码和验证码随便输入一个,点击登入之前启用burpsuite的抓包功能,然后送入到intruder模块。clear清除§§符号。由于密码与验证码均不知,故在密码与验证码处添加§§符号。最后选择第四个。

(3)、进入到此页面

点击Python·Environment下的Select file。导入此jar包

然后进入到此页面,点击add

选择Python,导入此py文件

最后点击next

完成后只要errors里面没有东西,则表示导入插件成功

(4)、

右击验证码,复制图像地址

(5)、

回到intruder模块

光标在第14行时,单击回车,然后输入xiapao:,然后空格再输入复制的图像地址,最后再单击回车。

(6)、导入弱口令字典

首先在payload set选择2,在payload type上选择Extension-generated,然后点击select generator,在弹出的窗口中选择xp_CAPTCHA,最后点击OK。

 点击resource pool选择Maximum concurrent requests,在方框内输入1

最后一步点击start attack

最后显示爆破成功

(二)、安装Java插件

 (1)、在此面输入admin,密码和验证码随便输入一个,点击登入之前启用burpsuite的抓包功能,然后送入到intruder模块。clear清除§§符号。由于密码与验证码均不知,故在密码与验证码处添加§§符号。最后选择第四个。

(2)、选择导入Java插件

抓到包后首先点击Extender,然后点击add,再点击select file选择要导入的bp插件和打开

最后点击next,只要errors里面没有东西,则表明插件安装成功。

再验证码处右击复制图像地址

点击xia pao,进入此页面后,打开监控intruder和Repeater,点击保存配置。

将复制好的图像地址粘贴到验证码编号:1处,再点击高级设置,将数据来源处改成验证码响应头。

回到intruder模块在验证码处改为验证码编号:1的关键字

导入已经准备好的弱口令字典

注意需要将Attack type改为Sniper再点击Start attack。

这种插件需要靠运气,一次没有成功就多试几次,实在不行我们就只能想想其它方法了。

靓屹
关注
  • 28
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burpsuite爆破密码说明
11-11
使用burpsuite爆破密码具体步骤,包含截图。
利用Burpsuite爆破Tomcat密码1
08-03
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
Burpsuite破解网站密码
飞翔的熊blabla
09-16 3676
新浪微博:@一只谢扬帆 工具/原料 burpsuite专业版 一个网站 方法/步骤 1 切换至proxy选项卡的Option选项下,设置代理地址和端口:127.0.0.1:8080。 2 启动刚刚设置的代理 3
burpsuite验证爆破教程_burpsuite 验证码,2024年最新面试看这个就够了
2401_84240554的博客
04-13 1748
7、第7步就是自己本地使用验证码识别项目进行无限制识别,识别成功率85%左右,但是好在没限制,可以无限使用POST /reg HTTP/1.1 Host: 127.0.0.1:8888 Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like
burpsuite爆破密码(含验证码)
热门推荐
Daniel的博客
10-10 6万+
题目是世安杯线上赛的一个题目 查看源代码,发现最下面有一行提示 密码是五位数字,所以想着爆破,但在burpsuite抓包后发现,每次登录,验证码都会改变,而且验证码不可以为空。这时就要去设置macros,具体设置方法 切换到 Burpsuite 的 Project options 选项卡,点击Macros下的add按钮 点击add按钮之后,这时候弹出两个窗口,一个是Macro
Burpsuite技巧 | 之加密密码爆破、带验证爆破
hackzkaq的博客
01-14 9162
更多黑客技能 公众号:暗网黑客 一、Burpsuite技巧之MD5加密密码爆破 关于Burp的安装包以及使用教程,可以查看之前分享的渗透测试神器|一文带你精通Burp(附下载) 因现在有很多后台都不再是明文传输,改成了各种各样的加密方式. 今天就拿MD5加密方式做一个演示,举一反三,希望对新手有用. 如图,MD5加密了密码,遇到这种后台,我们只需要稍微设置下 Burpsuite 就可以进行MD5加密密码爆破了哦 首先添加自己的字典,然后在下面添加负载处理,选择对应的加密方式即可. 效果如下: 二、.
Burpsuite爆破密码
xiang_xiang1314的博客
12-16 502
Burpsuite爆破密码 用burpsuite抓包 按Ctrl+i将请求包发送到Intruder模块 点击“Intruder”标签 点击“Positions”子标签 点击右侧“clear”按钮 选择需要爆破的目标字符串,点击右侧“Add $”按钮 点击“Payloads”子标签 点击“Load…”按钮,加载密码文本文件 点击右上角“start attack”按钮 再弹出的新窗口中点击“len...
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
burpsuite爆破工具
10-12
burpsuite爆破工具】是一款在计算机安全领域广泛应用的专业工具,主要针对Web应用程序的安全测试。它由PortSwigger公司开发,提供了一整套全面的功能,帮助网络安全专家检测潜在的漏洞,如SQL注入、跨站脚本(XSS...
口令字典口令字典口令字典
06-12
各种口令字典各种口令字典各种口令字典各种口令字典各种口令字典各种口令字典各种口令字典
phantomjs-burpsuite安装XSS所需插件
03-15
用于burpsuite工具中安装xssValidator插件使用
Burp suite图形验证码识别转发插件captcha-killer.0.1.2
01-25
Burp suite图形验证码插件 注:需要配合验证码识别接口可用,本插件仅提供转发功能,不提供验证码识别
BurpSuite字典
08-16
全网最全burpsuite字典包
Web应用安全:Burpsuite爆破模块介绍.pptx
06-19
Web应用安全:Burpsuite爆破模块介绍 Burpsuite 爆破模块是 Burp Suite 中的一个强大的工具,用于自动对 Web 应用程序自定义的攻击。Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。用户可以...
burpsuite——密码爆破
D-R0s1的博客
10-08 1048
使用burpsuite密码爆破,步骤如下, 第一步 设置代理 第二步 随便在原界面输入一个密码 第三步 抓包 第四步 抓到包以后准备改包 第五步 第六步 第七步 第八步 第九步 第十步 出结果 ...
burp口令爆破
最新发布
hakksjss的博客
04-18 408
如何定义口令、脆密码:除了强口令都是口令、容易被猜的均为口令。常见验证码(滑块、图形验证码、短信、邮箱、文字验证、机器学习验证码)通过枚举用户名或脆口令获取当前系统的认证信息,还有信息系统中参数、双因素(输入的密码、身体特征【面部、指纹、虹膜】、纯数字、纯字母、生日、姓名、你的特征、,该模块可对参数进行加密。注:下方模块的作用是对。传输中的特殊符号进行。线程控制(爆破速度)
带有验证码的爆破(包含Burp suite工具爆破)
weixin_43960066的博客
09-16 7034
关于含有验证爆破的一些总结!
burpsuite爆破密码list
10-15
我理解您的问题是想要一个 burpsuite 爆破密码的列表,是吗?如果是的话,我可以提供一些常用的密码列表,您可以在 burpsuite 中使用它们进行爆破。 1. rockyou.txt:这是一个非常常用的密码字典,包含了大约1400万个密码。 2. crackstation-human-only.txt:这个字典只包含人类使用的密码,不包含计算机生成的密码。 3. darkc0de.lst:这个字典包含了超过600万个密码,其中一些密码已经被加密。 4. password.lst:这个字典包含了超过1万个常用密码。 请注意,使用这些密码列表进行爆破可能会违反法律法规,因此请确保您有合法的授权和许可证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值