暴力破解:利用正则功能自动提取爆破结果中的特征值

最新推荐文章于 2024-04-23 23:11:05 发布
最新推荐文章于 2024-04-23 23:11:05 发布
阅读量241 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anlalu233/article/details/119378405
版权

通常暴力破解账号和密码时是因为回复不同从而判断是否可以暴力破解,比如:账号错误时返回“账号错误”或“账号不存在”等等;

密码错误时返回“密码错误”。
在这里插入图片描述
但有一种情况是用户名错误或密码错误的响应状态码是相同的,比如返回:“账号或密码错误”或“无效的用户名或密码”,
在这里插入图片描述

在这里插入图片描述
但是响应包正文会有一点差异,所以我们可以利用正则功能自动提取爆破结果中的特征值。

案例一:

爆破用户名:
导入字典后:在选项options下->Grep-Extract->add
单击“添加”。在出现的对话框中,向下滚动响应,直到找到错误消息Invalid username 使用鼠标突出显示消息的文本内容。其他设置将自动调整。单击“确定”,然后开始攻击。
在这里插入图片描述
在这里插入图片描述
攻击完成后,请注意还有一个包含您提取的错误消息的附加列。使用此列对结果进行排序,以注意其中一个略有不同。

案例二:

解决这道题的方法与上一道题是类似的,唯一的不同就是响应包正文的差异比较微妙,只相差了一个英文句号
在这里插入图片描述

我们看到这个差异真的太微妙了,所以这时候正则提取的好处就来了,一下子就筛选出来了,然后我们再利用相同的方法爆破密码就可以了

anlalu233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python基础教程:基于Python正则表达式提取搜索结果的站点地址
12-21
在本教程,我们将探讨如何使用Python正则表达式从Google搜索结果提取站点地址。 首先,我们需要理解问题的核心:从搜索结果的HTML源码定位并提取网站地址。在Python,我们可以使用内置的`re`模块来处理正则...
java 利用正则表达式提取( )内内容
09-05
本文将详细介绍如何利用Java正则表达式来提取括号`()`内的内容,并提供一个具体的示例代码。 首先,我们需要了解正则表达式的几个核心概念。正则表达式是由字符和特殊符号组成的模式,用于匹配字符串的特定...
暴力特征法找最佳特征值
qq_19917081的博客
08-14 683
import numpy as np import pandas as pd from pandas import DataFrame as DF import xgboost as xgb import warnings warnings.filterwarnings("ignore") dic = [22, 135, 591, 592, 593, 594, 595, 737, 948,...
burpsuite——grep extract暴力破解之结果提取
weixin_53324599的博客
10-08 680
暴力破解---根据不同数据产生的服务器回复不同进行过滤。
安全小课堂丨什么是暴力破解?如何防止暴力破解
最新发布
a38417的博客
04-23 3060
比如一个6位并且全部由数字组成的密码,可能有100万种组合,也就是说最多需要尝试100万次才能找到正确的密码,但也有可能尝试几次后就能找出正确的密码。从理论上来说,只要字典足够庞大,枚举总是能够成功的,也就是说任何密码都能被破解,只是时间的问题。这些方法被称为字典式攻击。一些黑客会整个运行未经删减的词典,并在单词增加特殊字符和数字,或者使用特殊的单词词典,但这种类型的顺序攻击非常繁琐。这样一来,您就可以针对自己访问的所有网站创建极长且复杂的密码,并且安全地存储,而您只需要记住密码管理器的一个密码就够了。
基于FEA的暴力破解行为分析
weixin_34417814的博客
02-23 224
2019独角兽企业重金招聘Python工程师标准>>> ...
正则表达式匹配问题(暴力求解)
qq_36573828的博客
07-04 2097
题目:预备知识:(1)正则表达式的概念是对字符串操作的逻辑公式,是事前定义好的一些特定的字符以及特定字符的组合。这里题目的p就是正则表达式(字符模式)要判断s是否满足p的字符模式。正则表达式是描述了一种字符串匹配的模式,用来检查一个串是否含有某种模式的子串,或者将匹配的子串替代又或者从里面取出符合某种模式的子串。所以并不是简单的看是否是子串的问题,例如:s="aaa" p="aaaaa"和s=...
决策树算法检测telnet暴力破解
Yale的博客
05-21 529
首先来了解什么是决策树 决策树算法采用树形结构,使用层层推理来实现最终的分类。决策树由下面几种元素构成: 根节点:包含样本的全集 内部节点:对应特征属性测试 叶节点:代表决策的结果 预测时,在树的内部节点处用某一属性值进行判断,根据判断结果决定进入哪个分支节点,直到到达叶节点处,得到分类结果。这是一种基于 if-then-else 规则的有监督学习算法,决策树的这些规则通过训练得到,而不是人工制定的。 举个例子 给出如下的一组数据,一共有十个样本(学生数量),每个样本有分数,出勤率,回答问题次数,作业提交
利用正则表达式提取固定字符之间的字符串
10-20
本篇文章主要介绍如何利用正则表达式来提取固定字符之间的字符串,这对于数据处理和信息抽取非常有用。 在JavaScript正则表达式的零宽断言分为前瞻断言(positive lookahead)和后瞻断言(positive lookbehind...
Java正则提取括号的内容操作示例
08-27
Java正则提取括号的内容操作示例 本文主要介绍了Java正则提取括号的内容操作,涉及Java针对字符串的正则匹配、转换、遍历等相关操作技巧。 正则表达式的基本概念 正则表达式(Regular Expression)是一种...
java基于正则提取字符串的数字功能【如提取短信的验证码】
08-31
本篇文章将详细讲解如何利用Java的正则表达式功能来从字符串提取数字,特别是在短信验证码提取场景的应用。 首先,我们需要理解正则表达式的概念。正则表达式是由特殊字符和普通字符组成的字符串,它定义了一种...
学习笔记暴力破解漏洞分析
明哥哥知识分享
08-30 3684
暴力破解 概念 暴力破解,其实就是利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式,如果身份验证模块设计的不好攻击者可以利用自动化攻击进行暴力破解,大大增加了密码被破解的风险。 暴力破解的测试方法是针对账号和或密码进行逐一比较,直到找到正确的账号和密码。 一般分为三种情况: 在已知账号的情况下,加载密码字典针对密码进行穷举测试; 在未知账号的情况下,加载账号字典,并结合密码字典进行穷举测试; 在未知账号和密码的情况下,利用账号字典和密码字典进行穷举测试 测试流程 暴力破解测试场景 账户探测 探测存在
BurpSuite暴力破解结果过滤
foryouslgme的博客
09-23 6412
BurpSuite暴力破解大家应该都很熟悉了,甚至是破解结果过滤都很清楚(其实破解结果过滤也很简单),只是操作稍微有一点点不人性化,容易让人理解错误,这里只是为了给自己做个记录。 破解结果分析 在日常工作,常常只验证某接口是否存在暴力破解漏洞即可,都是使用几个、十几个数据进行测试,这样测试结果一目了然,但是在真实环境,往往都需要大量数据进行暴力破解,那最难就是从众多结果筛选出正确的数...
暴力破解介绍
swordheart的博客
01-24 4222
暴力破解介绍 1、原理说明 暴力破解即账号枚举,攻击者使用自己的用户名和密码字典,对目的服务器进行一个一个尝试登陆,主要字典足够强大,肯定就会猜解成功。尝试爆破成功后,为攻击者下一步渗透做准备。 2、危害说明 目的主机账号猜解成功后,攻击通常利用该账号做如下操作: 1、攻击者通过泄露账户非法登录主机,盗取用户数据; 2、攻击者通过泄露账户非法登录主机,注入病毒程序,执行挖矿或勒索,如gobleImposter勒索病毒、飞客蠕虫; 3、攻击者通过泄露账户非法登录主机,作为跳板机攻
盲注之正则表达式攻击(REGEXP注入)
秋水的博客
09-03 3711
注入原理 什么是REGEXP注入? 首先说明一下,我并没发现这种注入是多么独特的一种方式。只是因为看到了,所以记下笔记,难受啊,越学看到的越多 REGEXP注入是一注入方式,又叫盲注值正则表达式攻击 注入原理 应该场景就是盲注,原理就是直接查询自己需要的数据,然后通过正则表达式进行匹配,实用场景如下 and 1=(SELECT 1 FROM information_sche...
机器学习的特征建模(特征工程)和算法选型建模 - 以暴力破解识别为例
weixin_34247155的博客
10-29 3956
catalogue 1. 特征工程是什么?有什么作用? 2. 特征获取方案 - 如何获取这些特征? 3. 特征观察 - 运用各种统计工具、图标等工具帮助我们从直观和精确层面认识特征的概率分布 4. 特征处理 - 特征清洗 5. 特征护理 - 特征预处理 6. 特征处理 - 特征选择 7. 特征监控   1. 特征工程是什么?有什么作用? 从某种程度上来说,数据和特征决...
网站安全服务浅谈用户密码暴力破解
网站安全专家
06-18 6824
 网站安全里,用户密码被暴力破解,尤其网站的用户登录页面,以及网站后台管理登录页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密码弱口令攻击,用户密码暴力破解攻击,跨站攻击XSS等等网站攻击方式。今天给大家讲解一下关于网站密码暴力破解的一些常用攻击手法,知彼知己,百战不殆。  网站用户登录的页面里包含了,用户的名称,以及用户密码,登录验证码,三个主要的页面功能,我们从最简单的角...
暴力破解(Burte Force)
热门推荐
西电卢本伟的博客
04-05 1万+
暴力破解弱口令,pikachu靶场
互联网时代必备:精通正则表达式第三版文详解
对于任何希望在日常编程工作利用正则表达式处理文本的开发者来说,这本书都是不可或缺的参考资料。 作者对正则表达式的深入剖析,使得本书不仅适合初学者系统学习,也适合有一定基础的读者深化理解并提升技能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值