http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.html
Burp suite是由portswigger开 发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利。
Burpsuite需要JAVA支持,请先安装JAVA环境。
首先我们先打开Burpsuite,proxy >> intercept >>intercept off,把拦截(intercept)功能关闭,因为我们这里不需要进行数据拦截
然后,使用代理端口8080
设置好了以后,我们打开我们的浏览器,设置浏览器的代理,这里我使用的是火狐浏览器,当然,其他浏览器也可以,设置代理即可
我们这里的端口是8080,如果前面你的端口被占用了,你可以换成其他端口,这里填写你更换的端口,提示一下,如果不使用这个软件的话,记得把浏览器的代理给关掉哦,否则无法上网哦!
这样我们的burp_suite就可以成功抓取浏览器的数据了。
现在我们在浏览器上打开我们的webshell,随便输入密码,密码错误,提示
我们抓取的数据包
然后,我们把抓到的POST请求包发送到"入侵者"(intruder)中进行破解。因为我们输入密码进行验证本身就是一个表单的POST请求。所以千万不要选错GET。如图:
之后我们就会跳转到侵入者功能菜单页面
我们在position(位置)这个菜单页选择attack type(功能类型)为默认sniper即可。
然后,选中COOKIES中后半部分(深色)。 点击右边第二个clear$按钮,去掉$符号(非$,不知道这个符号怎么打,哈哈)。
然后跳转到payloads(负荷)功能标签页面。
这里是密码字典的一些配置。我们点击LOAD从一个文件从导入密码(字典我会在本文后面提供下载地址)
如图,我已经导入了我的密码字典,之后再跳转到最后一个选项标签菜单页面。这里是对一些错误信息过滤的配置。从刚才我们随意输入密码返回的错误信息中,随意输入部分即可。点击ADD添加
如果在这里我们也可以不选择,我们到后面根据包的大小也可以判断密码是否正确
之后就算配置完成了。现在就可以开始攻击了!
- 584521
- nohack
- 45189946
- hacksb
- hackersb
- heixiaozi
- 360
- sb360
- 360sb
- yushiwuzheng
- wuzheng
- spider
- angel
- 4ngel
- yyswxws
- lcx
- nc
- hackqingshu
- qingshu
- qingshu$
- sz
- sunzi
- shunzi
- 123!@#
- !@#123
- 123654
- 123654789
- 123654789!
- 123654789.
- aspadmin
- phpadmin
- jspadmin
- aspxadmin
- noadmin
- cms
- iamnotadmin
- fuckit
- fuckhack
- fuckhacker
- F19ht
- f19ht
- fight
- hkmjj
- chinared
- ouou
- hake
- hakecc
- wwwhakecc
- 520hack
- hack520
- r4sky
- ghost
- baidu
- yy
- daoqq
- daohao
- sb
- youaresb
- caonimadebi
- caonimade
- worinima
- wocaonima
- caonimei
- lunnijie
- whatweb
- baidusb
- baiduadmin
- chenxue
- cnot
- xxoxx
- rinima
- hkk007
- chengnuo
- wrsk
- wrsky
- 54321
- yuemo
- 521
- *******
- 4lert
- yuemo
- maek
- dreamh
- Shell
- xxxxx
- shell
- 10011C120105101
- fclshark
- 19880118
- 376186027
- 654321
- 535039
- 000
- 123
- windows
- darkst
- jcksyes
- jcksyes
- jinjin
- 12345
- sq19880602
- jtk2352
- sq19880602
- kill
- chengnuo
- 45189946
- 123321
- hacker
- hack
- haode
- chuang
- aiezu
- 981246
- et520
- 12
- lx
- lengxue
- 20080808
- aoyunhui
- fucker
- tiger
- tig
- tag
- iloveshell
- loveshell
- yrpx
- air
- hkk007
- wrsk
- rinima
- caonima
- ceshi2009
- kissy
- 520
- 52013
- 5201314
- 3452510
- 1314520
- rfkl
- username
- 847381979
- jing
- winner
- 4816535
- shaomo
- zhack
- mama
- mama520
- fuckyou
- Fuckyou
- FuckYou
- lengfeng
- lengfengsk
- rensheng
- rs
- fuck
- 123go
- 1
- xiaowu
- Baike
- admin888
- honker
- hongker
- liner
- lin
- xiaoyi
- xiaoe
- 1
- login
- 888999
- Evav
- 13572468
- Sa
- sa
- sasa
- dangdang
- webshell
- lovehack7758
- rfkl
- 123
- darkst
- asp
- hkmm
- 133135136
- 80sec
- G.xp
- gxp
- 1992724
- satan
- Satan
- yong
- fst
- f.s.t
- F.S.T
- noid
- sadness
- caodan
- 96315001
- admin
- axiao
- 847381979
- rfkl
- yuemo
- 12
- bzxyd
- tonecan
- bzxyd
- 5201314
- 3est
- sin
- 654321
- ghost
- C
- cc
- evil
- evilhk
- evilhack
- evilhacker
- yong
- ying
- webadmin
- webadmin2
- HqzX
- tx
- tengxin
- tengxunsb
- danteng
- rusuan
- dantong
- youguest
- cmdshell
- Webshell
- WebShell
- sh3ll
- h4ck
- h4ck3r
- ufo
- ufohack
- jiaozu
- huaidan
- jiaozhu
- lover
- love
- daoker
- daokers
- daoke
使用包大小,有时会受到网速或者其他误差,所以能找到关键字就添加关键字吧!
burp suite需要安装Java环境才可以运行,JDK6官方下载地址:
http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe
burpsuite_pro_v1.3.03 破解版免费下载:http://u.115.com/file/e6yeojob