python编写脚本结合burp破解密码

最新推荐文章于 2023-06-18 09:45:00 发布
最新推荐文章于 2023-06-18 09:45:00 发布
阅读量804 收藏 1
点赞数 1
分类专栏: 信息安全 CTF 文章标签: python 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29566629/article/details/123201484
版权

情况说明:

输入账户和密码后,抓包:在这里插入图片描述
可以看到认证那里是base64编码过的,解码得到:在这里插入图片描述

构建爆破内容

  1. 前期已经得到的tomcat常用的账户名和密码字典:在这里插入图片描述
  2. 编写脚本构造爆破所需的内容:
import base64
f=open("com.txt","a")
for user1 in open("user"):
    for pass1 in open("pass"):
        combine = user1 + ":" + pass1   # 结合后的字符串
        base64d = base64.b64encode(combine.encode("utf-8"))   # base64编码
        base64d = base64d.decode("utf-8")  # 去掉“d”
        print(base64d)
        f.write("{}\n".format(base64d))  # 输出到新的文件里

输出的结果为:在这里插入图片描述
3. 最后一步,在burp里爆破

qq_29566629
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pythonBurp Suite联动暴力破解
weixin_46703850的博客
12-25 816
程序直接使用BP抓取的原包进行暴力破解 关键点:argparse库、pandas库、HackRequests库、Burp Surit。 思路: <1>.页面提交pybf1=username&pybf2=password等格式的数据; <2>.Burp Surit抓取原始数据包放入req.txt文件; <3>.BFhttp.py取原始数据包将pybf1、pybf2...pybfn等替换成字典内容 <4>.利用HackRequests库暴力破解; <5>.利用pandas库处理保存数据或保存为json在html
burp-ui:Burp-UI是用于使用Flask和jQueryBootstrap用python编写burp备份的Web-ui
02-05
burp-ui:Burp-UI是用于使用Flask和jQueryBootstrap用python编写burp备份的Web-ui
Python写DES加解密的常用函数
Altering_Ji的博客
11-17 4122
渗透测试借助burpy插件写Python解密脚本,des加解密函数示例
BurpCrypto: 万能网站密码爆破测试工具
最新发布
m0_59162248的博客
06-18 1240
BurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuit插件。目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法,甚至有些网站在每次请求前都动态请求加密密钥等措施,对接口渗透工作造成较大障碍。依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,通过BurpCrypto内置的RSA、AES、DES模块可应对较为简单的前端加密接口,较为复杂的加密算法,可使用ExecJS模块直接手动编写处理代码。
渗透测试-Python破解前端JS密码加密
道阻且长,行则将至。
09-02 2347
文章目录前言加密破解站点简介加密分析编写脚本执行脚本暴力破解总结 前言 渗透测试过程中,经常会遇到有的站点未对用户登录失败的次数进行限制,导致可以直接使用 BurpSuite 工具进行暴力破解。有的站点虽然可以爆破,却在前端使用JS代码对密码进行了加密,如果是常规的加密或者哈希算法,BurpSuite 的爆破功能自带了选择加密算法的功能,可直接爆破搞定即可。但如果遇上不是常规加密算法或者开发人员对常见算法、进行变化的情况…… 本文将简述如何使用Python脚本对前端做了密码加密的站点进行暴力破解。 加密破
Burpy:一个允许您执行python并返回BurpSuite的插件
05-02
py 一个允许您执行python并返回BurpSuite的插件。 介绍 在Android APP渗透测试期间,我经常发现流量是经过加密和/或签名的,拥有一个插件非常好,这样我们就可以将python编写为enc / dec / sign。 而且,有时候,您可能只想使用一些自定义函数来修改部分流量,您所需要做的只是编写一个python脚本,然后在burpsuite中直接调用它。 如果您想利用需要加密有效负载的入侵者,则需要Enable Processor ,并编写自己的有效负载处理器功能。 作者 m0nst3r(Song Xinlei)@ CFCA 有爱的贡献者 @中心太阳 @ViCrack 去做 从版本1.3到python3 dynamic函数变换 调整弹出窗口的大小和上下文菜单支持(@ViCrack) 弹出窗口的语法突出显示 弹出窗口的自动换行 python venv支持
移动安全-Burpy自动化加解密APP报文
道阻且长,行则将至。
03-31 2371
文章目录前言Burpy实战演示环境插件简介RPC脚本Burpy效果手动加解密自动加解密总结 前言 我在前面一篇博文 移动安全-Brida加解密数据 中介绍了如何使用 Brida 插件对 APP 报文进行自动化加解密,Brida 美中不足的是对报文进行加解密的时候需要手动点击,除非通过新增自定义的 BurpSuite 插件来搭配 Brida,才能实现 repeater 模块中的报文自动化加解密。 后来发现 m0nst3r(个人博客) 大佬在 Github 上开源了一个用于自动化加解密数据的插件 Github:
BurpSuit的Burpy插件搞定WEB端中的JS加密算法
netsec_steven的博客
07-20 4230
一、提问 上次写过一篇文章,那篇文章主要是是针对移动应用进行加解密处理的,今天我们要说的是WEB端的加解密处理方式。 大家在进行WEB渗透测试的时候,有没有像我一样遇到这样的问题? 下图可以看到发送的数据和接收到数据都是密文,应该都是通过加密变形,这样给我们进行渗透测试的时候,带来了很大的麻烦。 今天我找到了一款神器(Burpy),通过这个神器的处理后,对密文进行右键点击解密后,就会显示明文。 在重放的区域,修改要发送的内容,进行加密后,可以直接进行渗透测试。 完成了以上的内容后,我
Burp新手抓包教程(HTTPS抓包)
热门推荐
on_my_waylll的博客
08-13 3万+
1、工具介绍 首先呢,Burp抓包需要用到的工具,浏览器+Burp了,浏览器推荐使用火狐,没有为什么,burp最好使用专业版的,如果实在找不到,也可以使用免费的社区版,但是我也没用过社区版,不知道相对专业版,用起来怎么样。 2、抓包前的准备过程 第一步,搭建JDK环境 这一步我的上一篇文章已经说明了具体的步骤了,不过那只是我的安装步骤而已,不放心的话也可以多找找其他的教程参考下,因为当时只是为了作为笔记记录下的,因为每次重置电脑或者重装系统之类之后,电脑都...
盗号不是只有黑客才能到,一枚普通的Python程序员也可以!
Python6359的博客
02-11 3166
其实到要弄到账号密码很简单,一般很多人在学校图书馆喜欢用电脑占座(以古度今,我好像好多年没去过学校图书馆了),而且出去的时候经常不锁屏,为了让大家养成良好的习惯,我来带大家写个小程序吧,无需输入任何密码就可以快速获取你存储在电脑浏览器中的所有账号和密码,算是通过实践出真知来给大家提个醒了~当然现在盗号啥的也并没啥卵用,以前我上次初中那会,去黑网吧玩,那时候还是玩的DNF刷一夜能得一点金币,结果第二天去的时候就一个剑魂上面留了把木棍!一般情况下,查看这些密码是需要输入电脑的开机密码的。
Burp-suit工具以及启动脚本.zip
02-26
Burp-suit工具以及启动脚本
burpsuite爆破用户名和密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
burpsuite_jsapi:由Python编写BurpSuite扩展,用于在JS文件中查找API接口
04-15
burpsuite_jsapi Python编写BurpSuite扩展,用于在JS文件中查找API接口。0x00前提JPython环境应安装在BurpSuite中,请咨询 。0x01步骤git clone https://github.com/0x-zmz/burpsuite_jsapi 在Extender > ...
burpsuite汉化破解
03-28
burpsuite1.7.26永久免破解版,此软件由java语言编写,故运行需要安装jdk。建议安装jdk1.8.X版本(目前最稳定版本)下载和安装及环境变量设置自行百度 此软件为破解版,可直接运行,为英文版,汉化版需要运行汉化包...
python之WEB登录密码暴力破解
HTTP协议01
05-06 7393
原理:利用字典爆破进行破解 实验环境:本机Win10(python3.7环境)、虚拟机Win2003(搭建DVWA网站) 工具:火狐浏览器、Burp Suite 实现步骤: 1、获取正常登录时需要提交的数据信息。 Burp Suite开启抓包,浏览器范文Dvwa登录页面,按F12开启网络数据查看器,登录dvwa. 可知:username、passwo...
暴力破解用户名与密码(使用burppython
feiniaotjx的博客
09-15 5085
暴力破解用户名与密码 必火网络安全在线靶机 实验地址:基于表单的暴力破解 1.随意输入用户名与密码。 2.用burp抓包。 3.将包发送到intruder,attact type改为cluster bomb,clear清除变量,再用add清除变量,再用add清除变量,再用add添加username和password变量。 4.设置playload,playload类型设为simple list,将用户名字典用load导入,playload set 1为第一个参数,所以再将其设置成2,再导入密码字典 5.
Burp 扩展武器库
黑剑
03-19 3002
CORS 跨域漏洞 插件 分为简单的请求、非简单的请求简单简单的自动请求自动使用Origin,返回结果为浏览器中包含请求:Access-Control-Allow-Origin: origin_host or * Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: response_header1, response_header2 简单简单的浏览器发送预检请求,即发送请求方法,如果预检请求通过非请求请求,再次发送Opt
aes 解密乱码_利用Python编写具有加密和解密功能的Burp插件 (下)
weixin_39907939的博客
11-27 627
(接上文)getMessage当选项卡可编辑时(例如,Repeater),可使用SetMessage更新请求。如果修改了Decrypted选项卡中的内容并切换回原选项卡,系统将使用该函数对其进行更新。def getMessage(self): # determine whether the user modified the data if self._txtInput.isTex...
python破解qq密码_央·python编程之QQ数据清洗
weixin_30300857的博客
02-21 6173
一般我们从网上下下来的数据都很杂乱的,什么样的情况都有,不利于我们整理,所以在拿到数据的时候我们会先做一遍数据清理,把垃圾数据清理掉。今天我们拿QQ数据做示范。我们命令行是怎么看数据![Asm] 纯文本查看 复制代码more zy.txt#然后空格进行翻页效果如图:1.png (11.5 KB, 下载次数: 0)2018-1-30 17:54 上传从数据中得知:---- 中间4个-左边是账号,右边...
通过python是否可以让低版本的Burp Suite支持IPv6呢?
06-07
通过Python编写一个脚本,可以让低版本的Burp Suite支持IPv6。具体方法如下: 1. 首先,你需要使用Python的socket模块创建一个IPv6套接字,代码如下: ``` import socket sock = socket.socket(socket.AF_INET6, socket.SOCK_STREAM) ``` 2. 接着,你需要将Burp Suite的代理地址设置为IPv6地址,并将代理端口设置为脚本监听的端口。代码如下: ``` # 设置代理地址和端口 proxy_address = "::1" # 本地IPv6地址 proxy_port = 8080 # 脚本监听的端口 # 将Burp Suite的代理地址和端口设置为脚本监听的地址和端口 callbacks.setProxy(proxy_address, proxy_port) ``` 3. 最后,你需要使用Python的socket模块监听IPv6套接字,接收来自Burp Suite的数据,并将其转发到目标服务器。代码如下: ``` # 监听IPv6套接字 sock.bind((proxy_address, proxy_port)) sock.listen(1) # 接收来自Burp Suite的数据并转发到目标服务器 conn, addr = sock.accept() data = conn.recv(1024) # 将数据转发到目标服务器 ``` 需要注意的是,在使用这种方法之前,你需要确保你的操作系统和网络支持IPv6。同时,建议使用最新版本的Burp Suite来支持IPv6。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值