ice-06 运用Burp-Suite进行暴力破解(攻防世界)

已于 2024-04-02 00:48:43 修改
阅读量440 收藏 8
点赞数 14
文章标签: web安全 网络安全
于 2024-04-01 23:37:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ting_liang/article/details/137248902
版权

ice-06

步骤一:点击超链接,发现只有报表中心才有用。

1b2d928df8df499381337f555c07e068.png

步骤二:点进去发现输入日期范围没有用

498200e80bc249918e6416f961fd6be4.png

步骤三:使用Burp Suite进行抓包,把值传到Action到Intruder中

efb82ba7c4114c6b9dae7dba6d86201d.png

步骤四:如图所示进行配置

f70d1b6f9fc64c76a1f13b4a2adba25a.png

18f2aee5f6e148ccb07543b7cb56300b.png

12f0fb04114140709c8018f12837c2f4.png

763f2e82297a4f248e9b10426e1fd18d.png

步骤五:攻击,慢慢等一下,会出来异常的数据,从而得到flag

b5ad3c56d67b4f3da9ed995536e07a23.png

dd09af0d632449418d2d2eac4ad525c9.png

提交即可成功!!!

 

ting~liang
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
【第十篇】使用BurpSuite进行用户名、密码爆破(实战案例)
等风来
04-06 688
123456、123等通常为弱口令,在某些环境下若登录框存在提示(如请输入4位工号),故在登录框可爆破用户名;若不存在提示,可添加用户名字典进行爆破。设置两个payload集,其一添加用户名字典,其二添加密码字典。在已知用户名(如ice)的情况下,可通过添加密码字典进行爆破。3、用户名+密码双重爆破。
【第二十篇】使用BurpSuite实现SSRF(实战案例)
等风来
04-07 472
允许用户输入一个URL,然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证,通过输入。SSRF漏洞:向服务器发送伪造请求即可访问或操作服务器上的资源。,即可获取到内部系统的敏感信息,如管理员页面的内容。故我们可以尝试找到该服务器上存在的路径。以下步骤可证明某站点是否存在SSRF。故可证明该站点存在SSRF。【案例2】外带盲SSRF。
红队系列-溯源与应急反制专题
aming小老弟
11-09 271
日志分析、流量特征分析、内存马。
开源攻防武器项目
Websec
07-08 3971
首先恭喜你发现了宝藏。本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目........),内网渗透工具(隧道代理、密码提取.....)、应急响应工具、甲方运维工具、等其他安全攻防资料整理,供攻防双方使用。通用漏洞类:基础漏洞类:.........
Android应用攻与防
qq_42766267的博客
11-11 6056
安卓系统是由谷歌推出的一款移动终端,由于开源,所以国内出现了许多使用相关系统的厂商,比如小米,oppo,vivo,魅族等。 在国内,这些系统的用户群体甚多。我们日常使用的社交、游戏、工作等应用,很多都装在安卓系统上。 由于安卓系统的开源性,很多安全问题也随之而来。那么,在安卓系统上运行的应用又是如何保证自身安全的呢? 本文通过实战挖洞,展现一下Android应用的防守与攻击方式。 1 简介 为了避免应用被攻击,各种应用在投产前会用一些技术手段进行加固。但是在持续对
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
2023年Ms08067安全实验室公众号年度盘点
m0_74360619的博客
01-31 971
转眼之间,MS08067安全实验室已经陪伴大家第六个年头了,我们希望可以提供更多更好的安全技术给大家,能带给大家学习的便利。也希望作为安全人的你,在这条路上不孤单,我们一起进步,一起成长。
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证(1)
05-01 455
6.复制一下shiro.ini文件7.复制一下Quickstart.java文件8.运行启动Quickstart.java2.分析代码//工厂模式,通过shiro.ini配置文件中的信息,生成一个工厂实例//获取当前的用户对象Subject//通过当前用户拿到session//判断当前的用户是否被认证if (!//Token :令牌,没有获取,随机//设置记住我try {//执行了登录操作//如果 用户名不存在//如果 密码不正确”);
WPS出现0day漏洞,升级保障安全,速速行动
zzz6583zz的博客
05-06 738
近日,监测发现WPS Office for Windows版本存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件;目前已经发现了该Oday漏洞的在也利用。
burp-unauth-checker:burpsuite扩展程序,用于检查未经授权的漏洞
04-15
burp-unauth-checker概述自动化检测未授权访问漏洞关于该插件的实现细节,参考快速开始使用时需要勾选launchBurpUnauthChecker,建议在测试需要授权访问的功能时才开启(如网站后台)authParams.cfg:存储授权参数,...
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用...
jdk-17 ,BurpSuite 新版本环境及报错
04-25
jdk-17 ,BurpSuite 新版本环境及报错
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 577
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
HCIP-Datacom-ARST自选题库_02_网络安全【道题】
2301_80961833的博客
05-20 476
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较常见,为了防止中间人攻击或IP/MACSpoofing攻击,可以采取以下哪些配置手段?多远题461/805、为了防止仿冒DHCP服务器接入网络,可以在交换机上开启DHCP Snooping功能,配置步骤包括以下哪些选项?开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能。
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
最新发布
qq_18209847的博客
05-20 134
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
m0_67844671的博客
05-17 678
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
burpsuite实现暴力破解
09-05
Burp Suite是一款用于Web应用程序渗透测试的集成工具。它提供了多个模块和功能,其中包括一个用于暴力破解的模块。使用Burp Suite实现暴力破解时,可以使用其Intruder模块。 以下是使用Burp Suite的Intruder模块进行暴力破解的基本步骤: 1. 首先,将目标网站的请求捕获到Burp Suite Proxy中。这可以通过配置您的浏览器或移动应用程序来完成。 2. 在Burp Suite中,转到Proxy选项卡,选择拦截器并启用拦截功能。 3. 浏览目标网站,并在拦截器中暂停拦截,确保捕获到登录请求(或其他需要进行暴力破解的请求)。 4. 在拦截器中选择登录请求,并右键单击并选择"Send to Intruder"。 5. 在Intruder模块中,转到"Positions"选项卡,并将待破解参数设置为Payload类型为"Brute Force"。 6. 在"Payloads"选项卡中设置负载类型和负载范围。您可以选择字符集、长度和其他相关设置。 7. 在"Options"选项卡中,您可以设置并发连接数、超时和其他关于暴力破解的相关选项。 8. 点击"Start Attack"按钮开始暴力破解Burp Suite将自动尝试不同的组合,直到找到正确的凭据或达到您设置的条件。 请注意,暴力破解是一种可能非法且具有伦理问题的行为。在使用Burp Suite或任何其他工具进行渗透测试时,您应该遵守法律和道德准则,并且只能在获得合法授权的情况下使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ting~liang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值