基于HTTP Basic认证的爆破网上有好多神器可以用,比如Burp Hydra等等。这里推荐一个小巧的pYTHON写的小工具,htpwdScan
usage: htpwdScan.py [options]
* An HTTP weak pass scanner. By LiJieJie *
optional arguments:
-h, --help 显示帮助
Target:
-u REQUESTURL 设定目标URL, 示例.
-u="https://www.test.com/login.php"
-f REQUESTFILE 从文件导入HTTP请求
-https 当从文件导入HTTP请求时,启用https(SSL)
-get 使用GET方法,默认: POST
-basic [ ...] HTTP Basic 暴力破解.
示例. -basic users.dic pass.dic
Dictionary:
-d Param=DictFile [Param=DictFile ...]
为参数设定字典文件,
支持哈希函数如 md5, md5_16, sha1.
示例. -d user=users.dic pass=md5(pass.dic)
Detect:
-no302 无视302跳转, 默认302敏感
-err ERR [ERR