Burp suite 暴力破解shell密码详细教程

最新推荐文章于 2024-03-11 09:26:35 发布
最新推荐文章于 2024-03-11 09:26:35 发布
阅读量7.6k 收藏
点赞数
分类专栏: Burp suite

http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.html

Burp suite是由portswigger开 发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利。

Burpsuite需要JAVA支持,请先安装JAVA环境。

首先我们先打开Burpsuite,proxy >> intercept >>intercept off,把拦截(intercept)功能关闭,因为我们这里不需要进行数据拦截

 

然后,使用代理端口8080

设置好了以后,我们打开我们的浏览器,设置浏览器的代理,这里我使用的是火狐浏览器,当然,其他浏览器也可以,设置代理即可

我们这里的端口是8080,如果前面你的端口被占用了,你可以换成其他端口,这里填写你更换的端口,提示一下,如果不使用这个软件的话,记得把浏览器的代理给关掉哦,否则无法上网哦

这样我们的burp_suite就可以成功抓取浏览器的数据了。

现在我们在浏览器上打开我们的webshell,随便输入密码,密码错误,提示

我们抓取的数据包

然后,我们把抓到的POST请求包发送到"入侵者"(intruder)中进行破解。因为我们输入密码进行验证本身就是一个表单的POST请求。所以千万不要选错GET。如图:

之后我们就会跳转到侵入者功能菜单页面

我们在position(位置)这个菜单页选择attack type(功能类型)为默认sniper即可。

然后,选中COOKIES中后半部分(深色)。 点击右边第二个clear$按钮,去掉$符号(非$,不知道这个符号怎么打,哈哈)。

然后跳转到payloads(负荷)功能标签页面。

这里是密码字典的一些配置。我们点击LOAD从一个文件从导入密码(字典我会在本文后面提供下载地址)

如图,我已经导入了我的密码字典,之后再跳转到最后一个选项标签菜单页面。这里是对一些错误信息过滤的配置。从刚才我们随意输入密码返回的错误信息中,随意输入部分即可。点击ADD添加

如果在这里我们也可以不选择,我们到后面根据包的大小也可以判断密码是否正确

之后就算配置完成了。现在就可以开始攻击了!

 

XML/HTML Code 复制内容到剪贴板
  1. 584521  
  2. nohack  
  3. 45189946  
  4. hacksb  
  5. hackersb  
  6. heixiaozi  
  7. 360  
  8. sb360  
  9. 360sb  
  10. yushiwuzheng  
  11. wuzheng  
  12. spider  
  13. angel  
  14. 4ngel  
  15. yyswxws  
  16. lcx  
  17. nc  
  18. hackqingshu  
  19. qingshu  
  20. qingshu$  
  21. sz  
  22. sunzi  
  23. shunzi  
  24. 123!@#  
  25. !@#123  
  26. 123654  
  27. 123654789  
  28. 123654789!  
  29. 123654789.  
  30. aspadmin  
  31. phpadmin  
  32. jspadmin  
  33. aspxadmin  
  34. noadmin  
  35. cms  
  36. iamnotadmin  
  37. fuckit  
  38. fuckhack  
  39. fuckhacker  
  40. F19ht  
  41. f19ht  
  42. fight  
  43. hkmjj  
  44. chinared  
  45. ouou  
  46. hake  
  47. hakecc  
  48. wwwhakecc  
  49. 520hack  
  50. hack520  
  51. r4sky  
  52. ghost  
  53. baidu  
  54. yy  
  55. daoqq  
  56. daohao  
  57. sb  
  58. youaresb  
  59. caonimadebi  
  60. caonimade  
  61. worinima  
  62. wocaonima  
  63. caonimei  
  64. lunnijie  
  65. whatweb  
  66. baidusb  
  67. baiduadmin  
  68. chenxue  
  69. cnot  
  70. xxoxx  
  71. rinima  
  72. hkk007  
  73. chengnuo  
  74. wrsk  
  75. wrsky  
  76. 54321  
  77. yuemo  
  78. 521  
  79. *******  
  80. 4lert  
  81. yuemo  
  82. maek   
  83. dreamh  
  84. Shell  
  85. xxxxx  
  86. shell  
  87. 10011C120105101  
  88. fclshark  
  89. 19880118  
  90. 376186027  
  91. 654321  
  92. 535039  
  93. 000  
  94. 123  
  95. windows  
  96. darkst  
  97. jcksyes  
  98. jcksyes  
  99. jinjin  
  100. 12345  
  101. sq19880602  
  102. jtk2352  
  103. sq19880602  
  104. kill  
  105. chengnuo  
  106. 45189946  
  107. 123321  
  108. hacker  
  109. hack  
  110. haode  
  111. chuang  
  112. aiezu  
  113. 981246  
  114. et520  
  115. 12  
  116. lx  
  117. lengxue  
  118. 20080808  
  119. aoyunhui  
  120. fucker  
  121. tiger  
  122. tig  
  123. tag  
  124. iloveshell  
  125. loveshell  
  126. yrpx  
  127. air  
  128. hkk007  
  129. wrsk  
  130. rinima  
  131. caonima  
  132. ceshi2009  
  133. kissy  
  134. 520  
  135. 52013  
  136. 5201314  
  137. 3452510  
  138. 1314520  
  139. rfkl  
  140. username  
  141. 847381979  
  142. jing  
  143. winner  
  144. 4816535  
  145. shaomo  
  146. zhack  
  147. mama  
  148. mama520  
  149. fuckyou  
  150. Fuckyou  
  151. FuckYou  
  152. lengfeng  
  153. lengfengsk  
  154. rensheng  
  155. rs  
  156. fuck  
  157. 123go  
  158. 1  
  159. xiaowu  
  160. Baike  
  161. admin888  
  162. honker  
  163. hongker  
  164. liner  
  165. lin  
  166. xiaoyi  
  167. xiaoe  
  168. 1  
  169. login  
  170. 888999  
  171. Evav  
  172. 13572468  
  173. Sa  
  174. sa  
  175. sasa  
  176. dangdang  
  177. webshell  
  178. lovehack7758  
  179. rfkl  
  180. 123  
  181. darkst  
  182. asp  
  183. hkmm  
  184. 133135136  
  185. 80sec  
  186. G.xp  
  187. gxp  
  188. 1992724  
  189. satan  
  190. Satan  
  191. yong  
  192. fst  
  193. f.s.t  
  194. F.S.T  
  195. noid  
  196. sadness  
  197. caodan  
  198. 96315001  
  199. admin  
  200. axiao   
  201. 847381979   
  202. rfkl  
  203. yuemo  
  204. 12  
  205. bzxyd   
  206. tonecan   
  207. bzxyd  
  208. 5201314   
  209. 3est   
  210. sin   
  211. 654321   
  212. ghost   
  213. C  
  214. cc  
  215. evil  
  216. evilhk  
  217. evilhack  
  218. evilhacker  
  219. yong  
  220. ying  
  221. webadmin  
  222. webadmin2  
  223. HqzX  
  224. tx  
  225. tengxin  
  226. tengxunsb  
  227. danteng  
  228. rusuan  
  229. dantong  
  230. youguest  
  231. cmdshell  
  232. Webshell  
  233. WebShell  
  234. sh3ll  
  235. h4ck  
  236. h4ck3r  
  237. ufo  
  238. ufohack  
  239. jiaozu  
  240. huaidan  
  241. jiaozhu  
  242. lover  
  243. love  
  244. daoker  
  245. daokers  
  246. daoke  

使用包大小,有时会受到网速或者其他误差,所以能找到关键字就添加关键字吧!

 

 

burp suite需要安装Java环境才可以运行,JDK6官方下载地址:

http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe

burpsuite_pro_v1.3.03 破解版免费下载:http://u.115.com/file/e6yeojob

kendyhj9999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
91sp.vido.ws index.php_index
weixin_42514750的博客
12-30 6万+
Departamentde Filologia Anglesa i Alemanya=o:p>Universitatde =València___________________________________________=__José Santaemilia RuizAssociate Professor of English Language and Linguistics.<...
Webug-webshell爆破
weixin_40646615的博客
02-24 647
文章目录Webshell木马后门webshell爆破 Webshell webshell是== web入侵的脚本攻击工具==。 简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。 木马后门 “木马”? 木马”全称是“特洛伊木马(TrojanHorse)
爬虫逆向实战(20)-某99网站登录(魔改md5、图片验证码)
qq_44906798的博客
08-24 1万+
请求第二个接口获取到图片验证码的地址,请求该地址获取到图片,破解图片验证码(我使用的是打码平台)。生成加密参数,携带加密参数以及图片验证码请求登录接口。的加密方法,发现是加盐的md5,通过控制台测试字符串’1’,可以看出时标准的md5。但是当我使用标准的md5加密加盐后的字符串时,却发现与网站加密出的密文不同。通过观察这三个请求可以发现,第二个请求会携带第一个请求返回响应中的。通过定位到的加密位置,扣出加密代码,缺啥补啥即可。,第二个请求返回的响应中有第三个请求的地址。是可以写死的,每次生成的都是一样的。
一起来学k8s 40. kubernetes api操作
隔壁小翔
02-22 2630
kubernetes api操作 kubectl 通过访问 Kubernetes API 来执行命令。我们也可以通过对应的TLS key和token, 使用curl 或是 golang client做同样的事。 API 请求必须使用 JSON 格式来发送。 kubectl 的作用是将 .yaml 转换为 JSON 格式进行 API 请求。 通过证书访问 我们从查看 kubectl 的配置文件开始,...
网络安全CTF系列培训教程之Web篇-burpsuite爆破弱密码
ctfayang的博客
03-11 956
本文介绍了Burpsuite的设置以及如何爆破攻击web 密码
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <sty
热门推荐
u014497548的博客
06-03 50万+
Title img,div,body{margin: 0;padding: 0;} .orgindiv {width: 200px;height: 200px;position: relative;float: left;margin-left: 100px;} .orgindiv img{width: 100%;height: 100%;}
文件包含漏洞-知识点
weixin_44257023的博客
08-06 3万+
文件包含漏洞-知识点,简单了解包含漏洞
提高你的微操(http://www.war3xp.com/news_content.asp?fnewsid=5924)
shaplong9000的专栏
10-03 3万+
从某种程度上讲,几乎每个玩家在游戏生涯中都会遇到瓶颈期。任何人刚开始接触魔兽的时候表现都很差,不论他以前的游戏经验多么丰富,都不可能在刚一上手的时候就有出色的表现。渐渐地,通过练习,他的水平会慢慢提高。他会掌握基本的战术,而且更清楚如何指挥部队以获得胜利。而在这个游戏上手后,玩家就会将注意力转移到战术方面去。兵种间的克制关系,建造顺序,时机的把握等等,这些都成为游戏的要点。接下来还有大局上的把握,
【PyHacker编写指南】爆破一句话密码
XunanSec的博客
05-19 204
这节课是巡安似海PyHacker编写指南的《编写漏洞POC》 使用Python编写一句话密码爆破工具,解脱双手。 编写环境:Python2.x 00x1: 需要用到的模块如下: importrequests 00x2: 首先我们了解一下一句话马,一般post传递参数 一个简单的php一句话 <?phpeval($_POST['x'])?> OK,没问题,我们用浏览器打开传参看一下 由此可以看到密码为x,变量提交能匹配上即执行echo语句 这时我猜大家都有.
Linux-shell脚本检测ssh爆破登录
oiadkt的博客
03-04 554
Linux-shell脚本检测ssh爆破登录
Hydra爆破SSH
HAKUNAMATATATTA的博客
11-28 1853
Hydra是一款开源的暴力破解工具,支持FTP、MSSQL、MySQL、PoP3、SSH等暴力破解
Burp Suite2.0汉化破解教程.7z
08-18
Burpsuite2.0专业版是一款功能强大的Web应用程序渗透测试集成平台,Burpsuite从应用程序攻击表面的最初映射和分析,Burp Suite2.0汉化破解教程里面有破解教程
burpsuite_1.7.36用户名密码暴力破解工具
10-30
burpsuite用户 用户名密码暴力破解,软件测试与post get请求分析
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
burpsuite安装详细教程.zip
03-10
以下是一个详细Burp Suite安装教程: 下载Burp Suite: 首先,你需要从官方网站或其他可信来源下载Burp Suite的安装包。确保下载的是最新版本,以确保软件的安全性和稳定性。 安装Java环境: 由于Burp Suite是由...
Burpsuite的超详细安装教程(图文版)
04-18
burpsuite安装教程 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。 在渗透测试中,我们使用Burp Suite将使得测试工作变得更加...
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
burp suite暴力破解流程
06-09
Burp Suite 是一款功能强大的 Web 渗透测试工具,其中包含了许多模块,其中一个是 Intruder,可以用于暴力破解。下面是使用 Burp Suite Intruder 进行暴力破解的流程: 1. 在 Burp Suite 中打开要攻击的目标网站,并进行代理设置。 2. 打开 Intruder 模块,并在 Target 标签页中设置要攻击的网址。 3. 在 Positions 标签页中设置要进行暴力破解的用户名和密码字段。 4. 在 Payloads 标签页中设置用户名和密码的字典文件,并配置其他参数,如字符集、分隔符、前缀、后缀等。 5. 在 Options 标签页中设置攻击参数,如并发连接数、超时时间等。 6. 点击 Start Attack 按钮,开始进行暴力破解。 需要注意的是,暴力破解是一种不合法的攻击行为,应该在合法授权的情况下进行,否则可能会涉及违法行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值