Burpsuite是一款优秀的黑科技软件,黑客小子、CTF大赛必备工具,你值得拥有。
输入正确用户名、密码:
输入错误用户名、密码:
BurpSuite在Chrome浏览器的基本配置:
如何使用BurpSuite暴力破解得到密码呢?
暴力破解使用在啥场合呢?
- 没有验证码
- 没有失败次数限制
将拦截的请求打入侵略者模块(intruder):
选择需要爆破的字段:
固定用户名为admin
,暴力猜测密码,攻击方式选择sniper
(狙击手)。如果不知道用户名,也不知道密码,我劝你放弃暴力破解。一般来说,用户名是根据社会工程学拿到的。
加载密码文件设置爆破载荷:
设置好爆破需要的载荷之后,点击Start attack
(开始攻击),现在可以去泡咖啡了,活动活动筋骨,防止肩周炎、颈椎病、腰间盘突出等职业病,爱惜你的头发。
检查爆破结果:
喝着咖啡,泡着脚,不一会儿工夫,幸运密码出来了,admin
用户的密码是password
。
高级模式:
每次请求都会添加一个隐藏参数user_token
,这个参数每次刷新请求,服务端都会重新生成一个新的,所以不能无脑爆破,需要每次请求之前拿到这个参数,再执行无脑爆破。
前一次请求:token
后一次请求:token
将拦截的请求打入侵略者模块(intruder):
【选项】设置拦截user_token的正则表达式:
【选项】设置好user_token的拦截正则表达式:
【选项】设置重定向跟随302状态码:
【载荷】设置爆破参数1-密码:
【载荷】设置爆破参数2-token:
设置好之后,启动爆破(Start attack
),等待爆破完成。按摩走起(逃 …
查看爆破结果:
成功获得密码:password
SQL注入漏洞的万能钥匙:
试一试又没什么大不了的,万一有惊喜呢?
Web前端黑客技术揭秘
京东
¥47.20
去购买
Pro版本-爬虫模块(Spider)简介:
启动爬虫模块,并指定目标网站:
监控爬虫状态:
查看爬虫结果:网站目录结构
Pro版本-漏洞扫描模块(Scanner)简介:
启动漏扫模块,并指定目标网站:
监控漏扫状态:
查看漏扫结果:漏洞信息
这里显示我们的密码传输没有加密!
输出漏扫报告:
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~