用Burp suite进行密码爆破

最新推荐文章于 2022-10-10 12:48:01 发布
最新推荐文章于 2022-10-10 12:48:01 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: Web 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ephemerally/article/details/104582528
版权

接触了一段时间的Web学习,Burp suite还是用的挺多的。在这里主要分享一下Bugku中的一道题的实战演练。

题目链接:http://123.206.87.240:8002/webshell/

分析网页

不得不说,这个网页做的挺有意思的。
在这里插入图片描述
常规操作,先按F12查看源码,发现没有什么有用的信息。然后看网页文字显示,有漏洞,那就用御剑工具进行后台扫描。
在这里插入图片描述
观察这些后台网站,一群index之中有一个是shell.php的后缀,不太正常。我们打开这个链接:

http://123.206.87.240:8002/webshell/shell.php

在这里插入图片描述
这种时候就是需要输入密码来得到下一步,那我们用Burp suite抓包分析一下。

抓包分析

打开Burp suite的代理拦截之后,我们随便输入一个密码,比如abcdefg。此时将截获的包Forward,直到看到我们需要的信息。
在这里插入图片描述显然pass的内容就是我们输入的,那么信息是被传入这里进行登录。

密码爆破

当知道我们的信息传输位置之后,我们可以将包发至Intruder进行暴力破解。
IP与端口设置完毕后,我们点开Positions界面。
在这里插入图片描述在密码位置用 Add§ 包裹后,打开Payloads。参数设置完后我们可以导入Burp suite 自带的字典。
在这里插入图片描述
随后我们Start attack。
等待软件破解过程结束之后,我们对传回请求的长度进行排列,显然正确密码输入与错误密码输入会有不一样的效果,那么不一样的那一个就是password。
在这里插入图片描述我们将 hack 输入其中,直接得到了flag。
在这里插入图片描述

Ephemerally
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Burp Scanner Report
weixin_43304436的博客
12-20 353
1、使用application web 漏洞平台,除此之外还有一款类似的工具 叫做mulidata,其实mulidata功能更好一点。 2、配置之前的问题处理 安装之前要确认 自己之前是否安装过 Apache或者PHP解释器或者MySQL ,如果之前安装了单个版本的软件,需要卸载,或者检查是否运行,关闭也可以。 这里我做渗透测试使用的burp没使用如何破解 首先启动bur...
burpsuite 破解版 抓包工具
03-22
burpsuite 破解版 抓包工具
burpsuite抓包及密码爆破实践(需要安装包的留言)
W_seventeen的博客
12-02 1398
安装burpsuite 照着视频,网上的教程尝试了好久,结果自己电脑的环境因为之前装Eclipse java的时候装了jdk13,而burpsuite用不了13的,我又费了半天劲又是注册甲骨文账号,又是下载jdk8。(吐槽下我的电脑,现在越来越垃圾了,卡的一比)需要burpsuite安装包的可以留言。 然后在火狐浏览器里面设置网络代理选择手动代理,打开burpsuite,选择代理,选择选项。然后将...
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
Webug-webshell爆破
weixin_40646615的博客
02-24 664
文章目录Webshell木马后门webshell爆破 Webshell webshell是== web入侵的脚本攻击工具==。 简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。 木马后门 “木马”? 木马”全称是“特洛伊木马(TrojanHorse)
Burp suite 暴力破解shell密码详细教程
kendyhj9999的专栏
04-09 7800
http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.html Burp suite是由portswigger开 发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
burpsuite爆破密码说明
11-11
使用Burp Suite爆破密码有很多优点,例如可以对密码字段进行自动化爆破,节省时间和人力资源,提高测试效率。 Burp Suite爆破密码的注意事项 需要注意的是,使用Burp Suite爆破密码需要遵守相关法规和法规,例如不...
利用Burpsuite爆破Tomcat密码1
08-03
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
BurpSuite字典
08-16
全网最全burpsuite字典包
溯雪II 扫描网站后台账号密码利器
03-10
溯雪II 用于扫描网站后台登录账号以及密码 自带强大字典和功能... 用了就知道了
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
御剑扫描后台/Burp爆破--Bugku13.网页被黑
s11show_163的博客
11-26 1710
1.御剑扫描后台 百度网盘下载地址:http://pan.baidu.com/s/1i3fx1ZJ 下载御剑扫描网址后台页面发现除了index.php还有shell.php: 左下角添加ip地址右上角选择字典,因为输入Index.php可以显示,所以推测其他页面也是php,所以选择php字典。 url输入 http://123.206.87.240:8002/webshell/shell.php...
Burpsuite 支持扫描漏洞列表
SHELLCODE_8BIT的博客
10-10 2070
burpsuite 支持扫描漏洞列表
任意密码登录——密码找回漏洞
记录并分享学习安全的知识点..
04-15 1348
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 一、漏洞存在的点 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字就可以重置密码,导致可以暴力破解。 密码找回凭证可从客户端直接获取。 密码找回凭证在页面中可以直接获取。 密码找回凭证存并非只是与单个用户并绑定的问题。 密码找回凭证存并非只是与单个用户并绑定的问题。 用户找回密码的邮箱地址或者手机号码被修改。 在最后提交修改的密码处的逻辑错误。 二、漏洞复现 (一)密码找回凭证存放在cookie中 1.点击.
java信息安全开发_Java编程安全漏洞之:数据或系统信息安全
weixin_40008135的博客
02-25 854
Cleartext_Submission_of_Sensitive_Information明文提交敏感数据,使用明文通信方式传输、提交敏感数据修复建议加密后再提交或使用加密的通信方式传输、提交敏感数据。Use_of_Insufficiently_Random_Values使用了不够随机的随机值修复建议使用足够随机的随机值,如使用java自带Random生成随机数,则可添加一定算法。修复示例如:pu...
Java编程安全漏洞之:数据或系统信息安全
weixin_34025151的博客
03-21 1305
2019独角兽企业重金招聘Python工程师标准>>> ...
TOP 25 Most Dangerous Programming Errors
xhinker's blog
01-22 2598
Experts Announce Agreement on the 25 Most Dangerous Programming Errors - And How to Fix ThemAgreement Will Change How Organizations Buy Software.Project Manager: Bob Martin, MITREQuestions: top2
burpsuite爆破密码字典
最新发布
08-31
Burp Suite中,爆破密码时可以使用密码字典。密码字典是一种包含各种可能的密码组合的文本文件。通过使用密码字典,Burp Suite可以尝试使用不同的密码组合进行爆破,以找到正确的密码。 当使用Cluster bomb模式时,Burp Suite会使用多组数据集合进行组合,对多个爆破点变量进行爆破。这意味着可以将密码字典与其他数据集合组合在一起,以增加爆破的效率和准确性。 因此,当你在Burp Suite中使用Cluster bomb模式进行密码爆破时,可以选择一个密码字典,将其与其他数据集合进行组合,并点击右上角的"Start attack"按钮,以开始对目标网站进行密码爆破。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [实用 | 如何利用 Burp Suite 进行密码爆破](https://blog.csdn.net/wx17343624830/article/details/125165730)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值