burpsuite抓包及密码爆破实践(需要安装包的留言)

最新推荐文章于 2024-08-02 18:15:49 发布
最新推荐文章于 2024-08-02 18:15:49 发布
阅读量1.4k 收藏 7
点赞数 4
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_seventeen/article/details/103358279
版权

安装burpsuite

照着视频,网上的教程尝试了好久,结果自己电脑的环境因为之前装Eclipse java的时候装了jdk13,而burpsuite用不了13的,我又费了半天劲又是注册甲骨文账号,又是下载jdk8。(吐槽下我的电脑,现在越来越垃圾了,卡的一比)需要burpsuite安装包的可以留言。
然后在火狐浏览器里面设置网络代理选择手动代理,打开burpsuite,选择代理,选择选项。然后将如下的IP地址和端口填写到火狐的手动设置地址中。在这里插入图片描述

抓包实践

日常刷bugku web题
题目:你必须让他停下
打开后一直在闪,隐约可以看到图片,尝试f12查看源码发现没办法实现,设置好火狐代理后,直接打开burpsuite抓包,抓到后右击发送到repeater,点击发送,然后找到flag。
在这里插入图片描述## 密码爆破实践
依旧是bugku中的一道网站被黑题
打开题目后,显示网站被黑,感觉出题人做的网页好好看,2333333333
尝试用御剑扫网址webshell,webshell解释来源于百度

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。
在这里插入图片描述
得到后门提示,进入后台网页
在这里插入图片描述打开burpsuite后,然后在后门登录页面随便输入数字,进行抓包
![在这里插入图片描述](https://img-blog.csdnimg.cn/20191202223026279.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1dfc2V2ZW50ZWVu,size_16,color_FFFFFF,t_70
选定刚刚输入的qqq,右击发送给intruder,打开测试器
在这里插入图片描述点击位置,选中pass,点击清除,点击添加,然后点击有效载荷
在这里插入图片描述
从列表中添加爆破需要的密码字典,点击开始攻击
在这里插入图片描述
发现hack的长度明显短于其他,爆破成功,返回后门页面登录,得到flag。
在这里插入图片描述

W_seventeen
关注
专栏目录
BurpSuite 渗透测试实战(附安装包
悦分享
06-24 98
Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,base64就是一种基于64个可打印字符来表示二进制数据的表示方法。Base64由于以上优点被广泛应用于计算机的各个领域,然而由于输出内容中包括两个以上“符号类”字符(+,/,=),不同的应用场景又分别研制了Base64的各种“变种”。url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值,将它们以namelvalue参数编码(移去那些不能传送的字符,将数据排行等等)作为URL的一部分或者分离地发给服务器。
burpsuite 破解版 抓包工具
03-22
burpsuite 破解版 抓包工具
用Burp suite进行密码爆破
Ephemerally的博客
02-29 1723
用Burp suite进行密码爆破 接触了一段时间的Web学习,Burp suite还是用的挺多的。在这里主要分享一下Bugku中的一道题的实战演练。 题目链接:http://123.206.87.240:8002/webshell/ 分析网页 不得不说,这个网页做的挺有意思的。 常规操作,先按F12查看源码,发现没有什么有用的信息。然后看网页文字显示,有漏洞,那就用御剑工具进行后台扫描。 ...
Burpsuite安装教程以及自动扫描
最新发布
VN520的博客
08-02 791
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。在【新扫描】弹窗的扫描类型选择“选择审计项目”,默认选中“创建一个新任务”,“要扫描的项目”中自动添加所选分支下的所有请求,可点击【整合物品】进行过滤排除对应项目,从而进行有效、针对性的扫描;代理捕获到的所有请求,也会显示在【目标-网站地图】中,以树形结构进行分类展示扫描到的各个程序包以及程序包下的请求;
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
Web学习index.php、burp抓包爆破、XFF与Referer
qq_53099802的博客
04-21 3530
XFF与Referer,burp的理解应用
攻防世界 web 新手题小结
热门推荐
Sk1y的博客
10-20 2万+
01view_source 方法:在下用的firefox,鼠标右键可查看页面源代码,试了试不行。那么F12,即可得到。01收获:鼠标右键不能用,与前端函数有关,在该页面中我们可以发现有这两个函数, 1. document.oncontextmenu=new Function("return false")是右键菜单禁用; 2. document.onselectstart=new Function("return false")是禁止选中页面上的内容; 3. document.onselectsta
红队专题-抓包工具-Burpsuite-fiddler-Wireshark
aming小老弟
12-13 4495
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己会自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能会导致Burp Suite因内存不足而崩溃,从而会丢失渗透测试过程中的相关数据,这是我们不希望看到的。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
BurpSuite安装及DVWA搭建
m0_50744190的博客
06-03 1415
软件安装及利用burpsuite对dvwa进行抓包以及爆破密码
Burp-代码漏洞扫描安装包
04-28
它包含了一系列强大的工具,可以帮助安全专家进行各种类型的测试,包括静态代码分析、动态应用安全测试(DAST)、模糊测试、抓包与篡改等。在“Burp-代码漏洞扫描安装包”中,主要包含的是 Burp Suite 的无限制版本...
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
杨秀璋的专栏
03-27 1万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的。本文详细讲解了hack the box机器配置,通过OpenAdmin题目分享管理员权限Flag获取流程,希望对您有所帮助。同时,该网站题目细节不便于透露,推荐大家亲自去尝试,本文更多的分享一些思想。
http://106.52.39.144:88 到flag
qq_53701412的博客
02-01 2954
flag
Web入门1
2514804004的博客
10-21 1279
web安全入门
flag:中国红客联盟(实验)
m0_53843429的博客
05-05 498
1.浏览器打开网址浏览器打开网址 2.使用御剑工具扫描网址 3.打开扫描的网站 4.使用burpsuite抓包 5.进行数据爆破 6.得到密码,并得到flag
简单利用Burpsuite获取HTTP临时重定向Flag
X7tian的博客
04-09 2423
HTTP临时重定向
关于实验http://106.52.39.144 用御剑和burp suite 来去到flag ,操作步骤及截图
weixin_56513549的博客
01-22 809
本实验一共有两个flag (1)第一个 直接f12即可看到给的字典,通过页面直接搜索 (2)第二个 将所给字典以文本的形式保存到御剑扫描配置文件夹下 使用所给字典进行扫描发现敏感文件 直接双击点开即可进入,发现下载了www文件,将文件解压得到第二个flag 实验结束 ...
Bugku / CTF / WEB 输入密码查看flag
weixin_43851558的博客
07-28 3594
根据URL提示可知本题用爆破 本题要求的密码是5位数 修改google的代理服务器,再用burpsuite抓包,步骤如下: 1.将burpsuite打开后 点proxy >> intercept >>intercept is on >> 再浏览器页面输入密码 eg:1 并点击查看 2.抓包成功,页面如下: 如图可见最后一行显示我们输入...
Kali Linux中BurpSuite工具爆破密码详解
qq_64868579的博客
08-13 7534
Burpsuite是一个用Java编写的Web应用程序测试工具,它提供了许多功能。Burp Suite是一套通过攻击模拟来进行Web应用程序漏洞扫描、测试、攻击和漏洞修复的著名工具
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1168
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
burpsuite抓包爆破
09-13
要使用Burp Suite进行抓包爆破,可以按照以下步骤进行操作: 1. 首先,将浏览器的代理设置为127.0.0.1:8080,这样Burp Suite才能正确拦截和修改网络请求。 2. 打开Burp Suite,进入Proxy选项卡,然后点击Options...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值