实验5 弱口令暴力破解(利用burpsuite暴力破解弱口令)

最新推荐文章于 2025-03-03 11:50:41 发布
最新推荐文章于 2025-03-03 11:50:41 发布
阅读量7.9k 收藏 36
点赞数 8
分类专栏: 网络安全技术 文章标签: 信息安全 数据库 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43576794/article/details/117460004
版权

实验5 弱口令暴力破解(利用burpsuite暴力破解弱口令)

预备知识
BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。
实验目的
利用Burp Suite工具暴力破解弱口令。
实验工具
Burp Suite
实验环境
服务器一台(登录:http://www.any.com/fwcms/admin/login.php)客户机一台
实验步骤
安装php
在这里插入图片描述

启动apache,mysql
在这里插入图片描述

检查数据库
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210602093452803.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNTc2Nzk0,size_16,color_F在这里插入图片描述

把已经写好的网站放在www目录下
在这里插入图片描述

新建数据库cms
在这里插入图片描述

导入表
在这里插入图片描述

浏览器登陆192.168.232.130

在这里插入图片描述

第一步:进入客户机的控制台。
打开浏览器登录页面,浏览器跳转到正常登入界面。浏览器网址是192.168.232.133/cms/admin/login.php
在这里插入图片描述

在桌面找到【实验工具】文件夹,双击打开,然后双击【Burp】打开Burp Suite。
在浏览器中添加扩展FoxyProxy,修改网络代理。
HTTP代理为127.0.0.1,端口号为8080,【确定】保存。
在这里插入图片描述
在这里插入图片描述

然后在浏览器的登录界面输入已知的用户名admin,随意输入密码,点击“登录”,BurpSuite就会自动抓取页面向服务器发送的数据包。
浏览器网址是192.168.232.133/cms/admin/login.php
在这里插入图片描述

第二步:在抓取的包内容界面,右击将选择“Send to Intruder”,将包内容发送至Intruder界面。
在这里插入图片描述

第三步:进入Intruder界面。Target小界面的内容不用更改。
在这里插入图片描述

第四步:转到Positions小界面,选择“Clear §”,将默认选中要破解的内容去掉。然后选中密码“123”,点击“Add §”添加破解内容。由于只破解一个,所以“Attrack type”选择“Sniper”;如果破解多个,则选择“Cluster bomb”。
在这里插入图片描述

第五步:转到Payloads小界面添加数据字典。如果是破解多个参数,则“Payload set”这里可以点击选择“2”、“3”等,进行切换添加数据字典。

在这里插入图片描述

可以在“Add”后,往字典中添加单个密码。
在这里插入图片描述

第六步:在添加完数据字典后,选择“Intruder”“Start attack”开始攻击。
在这里插入图片描述

第七步:一般登录页面都会跳转到网站首页,因此HTTP返回的状态码一般为“302”。从破解结果看,在result最后发现密码为“123456”。
在这里插入图片描述

第八步:关闭burp拦截或者恢复浏览器代理,使用“admin/123456”登录页面192.168.232.133/cms/admin/login.php
成功登陆。

登陆成功截图如下:

在这里插入图片描述

利用burp suite进行弱口令爆破 (攻防世界web weak_auth)
Kni9hT's Blog
02-28 5286
终于刷到这种题了,做二进制的时候用过python爆破… 用burp suite跑字典还是第一次。 那就从这个简单的字典爆破开始吧。 利用工具: burp suite Blasting_dictionary-mastergithub字典 爆破环境: kali linux 正题开始 题目叫做weak_auth,翻译过来就是弱口令爆破 打开是一个登陆界面,username和password都使用a...
利用burpsuite爆破弱口令密码
2301_80453793的博客
05-27 1882
这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择user=和pass=后面的东西add加上§§符号。这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择pass=后面的东西add加上§§符号。先打开burpsuite的抓包功能,然后在网站中随便输入一个账号和密码,点击登录。先打开burpsuite的抓包功能,然后在网站中随便输入一个密码,点击登录。
手把手教你暴力破解
最新发布
Python84310366的博客
03-03 1184
暴力破解是一种攻击手段,使用大量的认证信息在认证接口尝试登录,直到得到正确的结果。
关于burp suite工具的弱口令爆破
sworddancing is the best one
07-18 6486
并非所有的弱口令都可以爆破,只有那些明文密码才可以利用burp suite工具进行侵入爆破,首先将数据包拦截,查看其密码是否为明文,如果是明文,才可进行一下步骤,如果不是明文密码,本文则无法实现密码的1爆破。 在proxy下action选项卡选择sent to intruder(将拦截到的数据包传送到intruder工具下),打开position,先clear清空一下默认所选中的爆破对象,然后选...
BurpSuite 暴力破解之绕过 token
白帽渗透笔记的博客
07-12 3880
0x01 现在的网站安全性越来越高,防爆破机制也越来越多,token 验证便是其中比较常见的一种。客户端每次请求服务器时,服务器会返回一个 token,下次请求时,客户端需要带上这个 token,否则服务器认为请求不合法。且这个 token 不可重复使用,每次请求都将生成新的 token,并导致旧的 token 失效。 0x02 token 机制使得我们的爆破变得困难了许多,但正所谓道高一尺魔高一丈,神器 BurpSuite 已经为我们提供了这一问题的解决方案,接下来就由老夫将这武林秘籍授予你们!
利用BurpSuite进行弱口令爆破
m0_62791201的博客
08-26 1487
弱口令指的是仅包含简单数字和字母的口令,例如“123456”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。返回proxy模块报文直接修改请求包正确参数并点击forward,可以看到浏览器界面登录成功。
Burp Suite暴力破解实验(问题+解决方法汇总)
qq_38651516的博客
11-16 8248
步骤: 1. 安装DVWA         1.1 将dvwa.zip文件解压并将文件名修改为dvwa,将文件拷贝到wamp安装目录下的www目录下。(安装地址)         1.2 访问http://localhost/dvwa-master,设置数据库用户名和密码(这里是访问数据库的用户名和密码,在安装wamp中设置的,如果没有设置,默认用户名为root,密码为空
弱口令暴力破解实验
weixin_45817996的博客
05-07 1627
工具:burpsuite_pro_v2.0beta 破解版 下载地址:百度网盘 链接:https://pan.baidu.com/s/1oCRykg1X1TWY-KdwJ1sNQg 提取码:3jg6 环境:跳转提示 题目: 步骤:1. 打开 Burp 的拦截模式(proxy 工具栏下——intercept is on),同时浏览器打开代理设置,在火狐浏览器的界面随便输入密码,在burp中可以看到拦截的数据包。 2. 为了爆破密码,我们需要使用它的 Intruder 模块(攻...
利用burpsuite爆破有验证码的弱口令
2301_80453793的博客
05-28 2089
(2)、在此面输入admin,密码和验证码随便输入一个,点击登入之前启用burpsuite的抓包功能,然后送入到intruder模块。首先在payload set选择2,在payload type上选择Extension-generated,然后点击select generator,在弹出的窗口中选择xp_CAPTCHA,最后点击OK。在www文件夹下最好在创建一个文件夹,名字要一个英文名字。光标在第14行时,单击回车,然后输入xiapao:,然后空格再输入复制的图像地址,最后再单击回车。
pikachu---暴力破解burpsuite
m0_46267075的博客
11-22 1327
沃达丰啊调查
BurpSuite暴力破解
weixin_47197003的博客
01-11 7102
BrupSuite之暴力破解
弱口令破解实验
10-13
利用锐捷虚拟平台,大学上机课实验报告内容,内含步骤。
burpsuite爆破密码说明
11-11
使用burpsuite爆破密码具体步骤,包含截图。
渗透测试实验_使用BurpSuite暴力破解DVWA密码 BurpSuite四种暴力破解类型 安全等级Low Medium High
weixin_47133613的博客
03-16 9777
文章目录
BurpSuite简单使用:弱口令
qq_73277309的博客
05-21 353
在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献;1、在火狐浏览器中下载代理扩展:FoxyProxy。首先进入登录界面,然后打开代理和burp。该文章仅用于信息防御技术的交流和学习,经过验证发现,该账号密码确实是正确的。2、使用burp拦截包。
2-2基于表单的暴力破解实验演示及burpsute使用介绍
山兔的博客
04-10 1660
本篇文章做一个暴力破解的演示,我们先来看一下我们实验的环境 我们来看一下我们实验用到的工具 一个集成的web安全测试系统,有free和pro两个版本 本篇文章主要对proxy和intruder两个模块进行讲解和演示 在网络上有一些破解版,但是大家搞安全的,要有安全意识,因为很多时候,被破解的工具有后门,这点要注意一下 基于表单的暴力破解实验-burp suite-intruder介绍 Intruder模块可以通过对http request的数据包以变量的方式自定义参数,然后根据对应策略进行自动化的重放。
暴力破解实验1 (burp suite intruder模块初见)
weixin_43726152的博客
05-02 481
使用proxy捉到包后,右键将它send到intruder模块中 0x01 测试字典 name.txt admin root user kobe lucy lili test pwd.txt aaaaaa 999999 000000 123456 111111 abc123 0x02 破解模式 intruder的position有4种模式 sniper:对单个变量进行替换,如果有2个以上的变量,也...
弱口令暴力破解
记录开发和安全学习过程中的点点滴滴
04-22 2071
本来想在打靶场的同时结合实战案例放在一起进行分享,结果发现篇幅太长,也不利于看,就放在下一篇中结合着一起来看,当然我也会在下面的靶场中,写出具体的一些实战遇到的解释,为什么要着重来写这个,能用弱口令进入的页面是获得权限以及获取其他漏洞的最好方式了,实在没办法的话,采取其他战术.弱口令是指容易被猜测或破解的密码,而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解的密码。
实验六:暴力破解
weixin_46544151的博客
04-23 1820
一、实验目的及要求 通过该实验熟悉爆破的原理和Burp suite的使用 二、实验原理 1、DVWA(Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 其主要目标是成为一个帮助安全专业人员,以测试他们的技能和工具,在法律环境允许下,帮助Web开发人员更好地理解保护Web应用程序和援帮助教师/学生教/学在教室环境的Web测试应用程序安全的过程。 2、B
burpsuite弱口令爆破
09-03
Burp Suite是一款专业的网络安全测试工具,其中的Intruder模块可以用于弱口令爆破。在使用Burp Suite进行弱口令爆破时,首先需要选择弱口令爆破模式,并添加一个爆破字典。 对于题目中的weak_auth,它是指弱口令爆破。在登录界面中,我们可以尝试使用admin作为用户名和密码进行尝试。同时,在网页源码中也提示了可能需要一个字典。 在进行弱口令爆破之前,需要进行抓包操作。抓包的目的是捕获输入用户名和密码的过程,以便进行后续的爆破操作。在抓包过程中,需要注意只需要框选出password字段即可,前面的username字段不需要包含在内。 通过以上步骤,我们可以使用Burp Suite的弱口令爆破功能进行相应的操作。请注意,在进行任何安全测试操作时,应该遵守法律和道德规范,只在合法授权的范围内使用这些工具。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [利用burp suite进行弱口令爆破 (攻防世界web weak_auth)](https://blog.csdn.net/weixin_43092232/article/details/104555086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [基于BurpSuite弱口令爆破](https://blog.csdn.net/m0_51345235/article/details/131174757)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半夏风情

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值