WebCrack:一键自动化日站工具 ——yzddMr6

最新推荐文章于 2022-06-07 06:30:00 发布
最新推荐文章于 2022-06-07 06:30:00 发布
阅读量1.8k 收藏 5
点赞数 2
个人星球:https://yzddmr6.tk/zsxq/
本文链接:https://blog.csdn.net/qq_43147039/article/details/103161191
版权
本文介绍了作者开发WebCrack工具的背景、思路和过程,该工具用于批量检测多种CMS系统的后台弱口令。通过解决账号密码提取和登录状态判断的难题,实现了较高的准确率。文章还详细列出了工具的更新日志和未来计划。
摘要由CSDN通过智能技术生成

前言

当初日学校内网的时候有很多后台,就想着能不能批量检测一下弱口令

但是学校的后台系统种类很多,asp aspx php jsp 等等

因为单个网站的爆破比较好整,直接上burp或者py脚本或者hydra

好像还没有听说过批量工具

想着找一找有没有现成的工具能测一测。

还真发现github上有一个

https://github.com/TideSec/web_pwd_common_crack

好像很厉害的样子

下载下来试了一下,然而结果并不如人意

误报率有百分之六十吧,可以说是非常不理想。

其实目前市面上各种爆破工具并不少

但是要么只能爆破某个指定的管理系统,要么就是不支持批量

所以自己就想着写一个万能网站批量爆破的脚本,并且在一周内进行了简单的实现。

现在博客建立起来了,想着是时候来记录一下。

工具简介

webcrack是一款web后台弱口令批量爆破、检测工具。

支持当前各大主流cms管理系统,如dz论坛,织梦,ecshop等。

在url.txt中放入后台地址即可进行自动化检测。

思路及过程

思路其实挺简单

提取表单 -> 放入数据 -> 发送数据 -> 判断返回内容

但是实现起来的难点主要有两个

1.如何从表单各种奇奇怪怪的参数跟token中准确提取用户名和密码这一栏
2.如何判断是否登录成功

最低0.47元/天 解锁文章
yzddMr6
关注
100天精通Python(爬虫篇)——第47天:selenium自动化操作浏览器(基础+代码实战)
努力让自己发光,对的人才能迎着光而来
07-18 3万+
一、Selenium框架环境搭建 1. 下载模块 2. 安装浏览器驱动WebDriver 二、基础操作 1. 打开浏览器 2. 无界面模式 3. 元素定位 4. 元素操作 5. 前进后退 6. 执行js 7.页面等待 隐式等待(常用) 显式等待(了解) 三、进阶操作 1. 使用代理ip 2. 修改请求头 3. 隐藏指纹特征.....................
〖Python WEB 自动化测试实战篇①〗- WEB自动化的介绍与概述
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
06-04 4万+
在上一篇章就软件自动化测试当中最简单也是最常用接口自动化测试进行了一个比较完整性的实战。可是当我们投入到实际工作应用中就会发现,虽然接口测试很有效也很容易推广开来,但是很多时候真正需要测试验证的不仅仅是接口测试的返回,还包括前端页面的重现。所以近下来的学习内容就将进入到 [WEB 自动化(即 WEB 端 UI 自动化)]。.........
WebCrack:WebCrack是一款web后台弱口令万能密码批量检测工具,在工具中导入后台地址即可进行自动化检测
05-05
WebCrack v(2.1) 工具简介 WebCrack是一款web后台弱口令/万能密码批量检测工具,在工具中导入后台地址即可进行自动化检测。 开发文档 更新日志 2021/03/15 v(2.1) 修复目标为IP时字典生成失败的BUG 2021/02/22 v(2.0) 代码重构,解耦,面向对象 conf/config.py中可以自定义全局参数 去掉预请求,优化核心判断逻辑 修复部分BUG 2020/02/25 v(1.1) 代码准备全部重构,先发一个修复BUG的临时版本 优化核心判断逻辑 修复两处表单识别问题 增加黑名单关键字 2019/09/09 v(1.0) 项目开源 工具特点 多重判断机制,减少误报 随机UA 随机X-Forwarded-For 随机Client-IP 可以通过域名生成动态字典 可以检测万能密码漏洞 支持自定义爆破规则 使用方法 下载项目 git clone h
WebCrack:网站后台弱口令批量检测工具 ——yzddMr6
yzddMr6的博客
11-06 3008
经过这么长时间的测试终于算是可以上线了,写篇文章跟大家分享一下自己的开发思路吧 注:本工具借鉴吸收了TideSec的web_pwd_common_crack很多优秀的思路,在此基础上增加了很多拓展功能使其更加强大,在这里给TideSec的大佬点个赞! 前言 在做安全测试的时候,随着资产的增多,经常会遇到需要快速检测大量网站后台弱口令的问题。 然而市面上并没有一个比较好的解决...
一个有趣的Shell分析以及自己的一些想法 ——yzddMr6
yzddMr6的博客
12-17 427
前言 前一段时间有很多同学问我这个shell,看了下确实比较有意思,并且顺便也想讲一些自己的想法。 <?php $p=$_COOKIE;(count($p)==23&&in_array(gettype($p).count($p),$p))?(($p[59]=$p[59].$p[72])&&($p[91]=$p[59]($p[91]))&&($p...
向吃鸡外挂站开炮(三)——yzddMr6
yzddMr6的博客
11-14 615
本篇已授权公众号“HACK学习呀”转载 向吃鸡外挂站开炮(一) 向吃鸡外挂站开炮(二) 前言 第三篇终于写好了,也算是比较有意思的一篇,遇到了很多坑,也用上了很多小技巧,写出来博君一笑。 正文 毫无套路的炫酷界面 image 琳琅满目的商品列表 image 这种卖黑号的通常都是跟各种hc商勾结在一起,用木马盗取用户账号,然后再出售账号让孤儿开挂。 Getsh...
网站后台测试软件,WebCrack:网站后台弱口令批量检测工具
weixin_39732991的博客
07-22 928
前言在做安全测试的时候,随着资产的增多,经常会遇到需要快速检测大量网站后台弱口令的问题。然而市面上并没有一个比较好的解决方案,能够支持对各种网站后台的通用检测。所以WebCrack就应运而生。工具简介WebCrack是一款web后台弱口令/万能密码批量爆破、检测工具。不仅支持如discuz,织梦,phpmyadmin等主流CMS并且对于绝大多数小众CMS甚至个人开发网站后台都有效果在工具中导入后台...
fscan:一键自动化、全方位漏洞扫描的开源工具
osfront的博客
04-23 4万+
简介 fscan 是一个内网综合扫描工具,方便一键自动化、全方位漏洞扫描。 它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 源码链接:https://github.com/shadow1ng/fscan 主要功能 1.信息搜集: 存活探测(icmp) 端口扫描 2.爆破功能: 各类服务爆破(ssh、smb等) 数据库密码爆破(mysql、mssql、re
基于java+Selenium实现的Web和接口自动化测试工具
10-09
个人觉得这个工具比任何自动化测试框架都好使,使用关键字和数据双驱动,不需要写一行代码,无需维护脚本,只需要维护用例数据。Web元素只需要在Chrome中复制xPath即可,定位非常高效。 工具安全无木马,目的只为...
〖Python WEB 自动化测试实战篇⑤〗- selenium 元素定位详解 - (八大元素定位方式)
易编橙 · 终身成长社群,相遇已是上上签!
06-07 4万+
测试对象的定位和操作是我们利用 selenium 编写自动化脚本和 webdriver 的核心内容,其中 "操作" 这一部分又是建立在 "selenium" 元素定位的基础之上的。所以对元素对象的定位就显得越发的重要,接下来我们就学习一下常用的元素定位方法有哪些。......
WebCrack.rar
06-10
WebCrack.rar
WebCrack4.0工具
07-07
路由密码破解器 破解小型的路由还是很好用的
webcrack + superdic
11-06
黑客字典生成工具,七大功能: 1、高优化算法,制作字典速度极快 2、精确选择所需字符 3、绝对长度批评算法 4、特殊位字符定义 5、字符串前插和后插 6、生日字典 7、利用特殊位设置
webcrack绿色英文版
04-01
webcracker 4.0英文版 教你如何破解网站密码:就用http://www.membersparth.com/members/来当示例吧。 第一步:打开webcracker 4.0,在File&location;面板的Username fils:中找到webcracker 4.0安装目录的combo.txt文件。 第二步:在File&location;面板Use password file:中找到webcracker 4.0安装目录的password.txt文件。 第三步:在URL中输入网址http://www.membersparth.com/members/。 第四步:在Advanced面板选择Connect through a proxy server,并在Http Proxy:中输入218.30.18.116,在Prot:输入80。 第五步:单击Start,弹出选项框说Do you want to save changes,选择Yes。 第六步:等待,在Discovered passwords面板中找出Username及Passwords并复制到网站即可。
Webcrack4暴力破解软件
02-10
Webcrack4暴力破解软件及字典生成,主要用于破解路由器密码等
利用随机异或无限免杀d盾 ——yzddMr6
yzddMr6的博客
11-06 329
前言 最近D盾更新了,在某司某圈也看到了不少免杀d盾免杀狗的一句话帖子 但是基本上只要放出来不到两天时间就加入查杀全家桶.最近一直在造各种车轮子 就想着其实可以写个脚本利用异或来fuzz出指定的字符 然后拼接出assert或者create_function等函数,来对抗waf的检测. 思路及实现 首先如何fuzz的问题 先讲一个离散数学中的概念叫可逆 ,异或的运算就是具有可逆性的....
无限免杀D盾脚本之aspx ——yzddMr6
yzddMr6的博客
11-19 3551
前言 自己曾经写过一篇文章:利用随机异或无限免杀某盾 php的webshell免杀方法有很多,但是市面上很少有讲aspx免杀的文章. 因为aspx的权限一般较大,对于渗透过程中还是很重要的, 所以就想着写一篇文章来简单的介绍下aspx的免杀 0x01 主要方法 字符串拼接 函数 数组 Base64编码 0x02 了解aspx一句话 Aspx的一句话一般是使用Jscript语言实...
网站后台爆破工具WebCrack
zxのdream
10-30 3万+
webcrack 网站后台爆破工具
WAFW00F、WebCrack
LiBai'S BLOG
05-23 2016
以下内容部分参考网上的文章整理的笔记。如有侵权请联系删除。 Web应用程序防火墙指纹识别工具 下载安装 https://github.com/EnableSecurity/wafw00f 使用文档 https://github.com/enablesecurity/wafw00f/wiki 安装环境 python3 pip install wafw00f 使用 cd C:\Python39\Lib\site-packages\wafw00f-2.1.0-py3.9.egg\wafw00f pyth
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值