mysql爆破字典_又一神器!万能网站密码爆破工具

最新推荐文章于 2024-05-11 09:45:20 发布
最新推荐文章于 2024-05-11 09:45:20 发布
阅读量1.9k 收藏
点赞数
文章标签: mysql爆破字典

6cb5077c567bf0cb314ec93735bcecf5.png

在Web渗透测试中有一个关键的测试项:密码爆破。

目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法,甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto。

安装

BurpCrypto可从其官方Github页面进行下载已编译好的版本,或下载源代码本地编译,然后在BurpSuite的扩展列表中添加插件即可。

使用方法

BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡,打开选项卡可进入不同加密方式的具体设置界面。

AES加密

035a3371ff61fe88ed0ba923bda424ec.png

常见的加密插件往往只提供一个Processor,此插件设计了多Processor功能,可以添加多个Processor,同时运行多个不同加密方式、不同密钥的测试器。

f5508cdc757b3f7160fb9177fce57cb0.png

403eb631ad54fa539499cae040c06196.png

在测试器中选择刚刚创建的Processor

71ea13259f5cb87b63e20fd3a50c0c37.png

下面直接点击Start Attack即可。

找的密文对应的明文

BurpSuite中有一个饱受诟病的问题,在测试器的测试结果中,无法显示原始Payload,也就是字典内容。

该插件具有内置数据库功能,只要是通过该插件生成的密文内容,都可以使用插件中提供的“Get PlainText”功能找回原始Payload。

edd39a0e907e5324644b1da287795ee8.png

361de7c1955d5a2242a322c45522938c.png

ExecJs功能

该插件对于不支持的加密算法也提供了一种变通方法,使用者可根据不同网站使用的加密方法提取其加密的核心函数,并将核心函数稍作加工即可加入本插件中使用。

此处演示使用的是某网站使用的特殊版本的MD5算法。

8afe1df2069572a5b0adff66f9f1e790.png

81f1c0ab237aa9d6a9511fe910f61762.png

然后像AES模块一样添加Processor即可,使用方式也类似与AES模块。

a04a88cee44cd28b7c849cd6fcb1812c.png

5217733905d0809b2bab71546b0758bd.png
该插件的的官方Github为:https://github.com/whwlsfb/Bu...

牛不牛逼??还不给我点个在看转发分享支持一下!!!

本文作者:whw1sfb 原文:__https://www.freebuf.com/secto... 免责声明:本文中提到工具与测试方法仅供研究学习使用,请遵守《网络安全法》等相关法律法规。
  • 分享一份阿里云内部超全K8s实战手册,免费下载!
  • 这里给大家再分享一些技术资料,建议收藏!
  • 超全96页!《阿里云ECS运维:linux系统诊断》手册开放免费下载
  • 升职加薪必备!运维工程师打怪升级进阶成神之路
  • 我没有开挂的人生!自律和坚持,是我走IT之路的唯一捷径
  • 全网最新、最全Linux面试题(2020版)!
  • 史上最全、最新的Redis面试题(2020最新版)!
  • 赞!7000 字学习笔记,MySQL 从入门到放弃
  • 12800字!SQL 语法速成手册(干货满满,建议收藏!)

如有错误或其它问题,欢迎小伙伴留言评论、指正。如有帮助,欢迎点赞+转发分享。

更多相关开源技术文章,请持续关注民工哥知乎技术专栏。

我是民工哥,一个爱折腾的IT技术老司机,欢迎关注我,我们一起学习,共同成长!!

weixin_39940913
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
弱口令-爆破Mysql
HAKUNAMATATATTA的博客
11-28 2084
mysql弱口令爆破工具 不仅仅是MySQL
Burp Suite暴力破解网站密码
热门推荐
m0_53820621的博客
11-22 1万+
一、准备: 1,靶场:个人选择DVWA。 2,工具:Burp Suite。 3,密码字典。 二、开搞!: 注:任何未经授权的渗透测试皆为违法,本文仅供学习,维护网络安全人人有责。 一、打开dvwa暴力破解页面: ...
**标题:** 爆破字典:解锁无限可能的安全工具
gitblog_00002的博客
05-11 309
标题: 爆破字典:解锁无限可能的安全工具 项目地址:https://gitcode.com/rootphantomer/Blasting_dictionary 1. 项目介绍 Blasting_dictionary是一个强大的开源字典生成,专为安全研究人员和密码破解爱好者设计。这个项目旨在帮助用户创建高度定制化的词典,以适应各种场景下的暴力破解或安全性测试需求。通过独特的算法和丰富的预置选项,它...
教你通过AES/ECB/PKCS5Padding加密实现PHP和JAVA互通
yqh的博客
05-21 2549
公司和外部合作数据互通,对方的语言是java的,使用的是AES/ECB/PKCS5Padding加密方式,我这边是PHP的,这里说下两者加密互通的实现; 首先贴下Java的语言: importjavax.crypto.Cipher; importjavax.crypto.spec.SecretKeySpec; importorg.apache.commons.codec.binary.Base64; publicclassAESUtil{...
2023山石网科冬令营结营赛Write Up
01-12 518
第二届山石网科CTF冬令营结营赛Write Up
Android数据加密之Rsa/MD5/Aes/Des加密算法归纳总结
心情舒畅
01-25 2578
加密算法 1.加密算法通常分为对称性加密算法和非对称性加密算法:对于对称性加密算法,信息接收双方都需事先知道密匙和加解密算法且其密匙是相同的,之后便是对数据进行 加解密了。非对称算法与之不同,发送双方A,B事先均生成一堆密匙,然后A将自己的公有密匙发送给B,B将自己的公有密匙发送给A,如果A要给B发送消息,则先需要用B的公有密匙进行消息加密,然后发送给B端,此时B端再用自己的私有密匙进行消息解密...
MySQL账号密码爆破工具JAVA开发
最新发布
07-21
基于Java SE实现的MySQL账号、密码爆破工具 使用的技术:Java线程池、多线程、终端交互 适用场景:适合在授权下对目标MySQL进行弱口令检测 注意:请在授权下对目标进行测试
mysql数据字典导出工具.zip
06-08
MySQL数据字典导出工具是专门用于MySQL数据库的管理和维护的一款实用程序,它允许用户方便地导出数据库的元数据,即数据字典信息。数据字典在数据库管理中起着至关重要的作用,因为它存储了关于数据库结构、表、列、...
Python版Mysql爆破小脚本
09-09
本文给大家分享的是使用Python制作的MySQL在线用户密码的暴力破解脚本,非常的好用,有需要的小伙伴可以参考下
PHP版Mysql爆破小脚本
09-09
本文给大家分享的是使用php实现暴力破解mysql的小脚本代码,非常的好用,有需要的小伙伴可以参考下
mysql数据字典导出工具
11-01
mysql数据字典导出工具基本介绍】 mysql数据字典文档导出,导出的是html格式 【使用方法】 第一步 填写相关配置信息 第二步 获取数据库列表 第三步 选择导出类型,点击导出按钮 提示 程序会在同级目录下生成日志...
超强暴力-万能密码词典
04-12
一个超强的暴力万能密码词典。使用时尽量多填写多点的密码,这样就容易破解。
半自动化的注入爆破工具(PHP版)
03-27
工具适用于不能使用UNION SELECT的情况,通过自己构造语句,可以爆出任何想要的数据. 由于不能做到多线程,并且受制于PHP的max_execution_time最大为30秒, 因此在网络不给力的情况下无法爆出所有想要的字符. 此时可以通过指定少数字符来逐段爆破. 另外, 目前只支持 and (select .... ) >={guess} 或者 and {guess}<=(select ...) 的情形.
登录框前端加密数据爆破方法
jkhdjkasd的博客
12-19 658
现在越来越多的登录界面使用rsa、aes等前端加密用户凭据再进行提交,给爆破用户名密码造成了一定难度,本文记录了某次爆破加密登录框的过程,把思路和方法分享给大家。这里找到了加密代码,分析可以得出,使用aes的cbc方式进行加密,密钥为1234123412ABCDEF,iv也是1234123412ABCDEF。1、某次渗透项目遇到的登录提交数据包,密码字段使用了加密,base64解码后乱码,可能是使用了对称或者公钥加密。跳转过去之后代码是这样的,没有发现加密代码没有在这两个位置,所以使用第二种方法。
一次稍显曲折的爆破经历
Ms08067安全实验室
05-25 446
Y一次稍显曲折的爆破经历文章转载自先知社区:https://xz.aliyun.com/t/7732固定布局 ...
burp爆破mysql_GitHub - OkmOO/BurpCollector: 通过BurpSuite来构建自己的爆破字典,可以通过字典爆破来发现隐藏资产。...
weixin_39942318的博客
01-20 139
演示视频0x01 结构img存放README里面的图片log存放从Proxy History里面提取的信息名称是启动插件时的时间pymysqljython的第三方库,用于操作mysqlBurpCollector.py插件的主文件,在Burp中需要加载的文件config.ini配置文件mysql: 数据库的配置blackExtension: 文件后缀黑名单,用来设置禁止存放进数据库的文件后缀名bla...
74应急响应-win&linux分析后门&勒索病毒&攻击
san3144393495的博客
01-09 1163
操作系统(windows,linux)应急响应:1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题常见日志类别及存储:日志文件默认存储路径补充资料:10款常见的Webshell检测工具:https://xz.aliyun.com/t/485。
渗透测试-暴力破解之hydra
lza20001103的博客
04-18 4270
渗透测试-暴力破解之hydra
常见mysql密码爆破字典
07-15
常见的 MySQL 密码爆破字典包括以下几种: 1. 常见密码:这些密码是用户最常使用的,默认的密码或者弱密码,如 "123456", "password", "admin", "test" 等。 2. 字典密码:这些密码是从常见字典中提取的,包括常见的英文单词、数字组合、键盘上相邻按键等。 3. 弱密码规则:这些密码是根据一些弱密码规则生成的,如将单词逆序、大小写混合、数字替换为符号、重复字符等。 4. 社工密码:这些密码是通过社会工程学手段获取的,如用户的生日、家庭成员名字、手机号码等。 需要注意的是,使用这些密码字典进行爆破是一种不合法的行为,违反了网络安全法和个人隐私保护法。在实际应用中,应该采取安全措施,使用强密码策略,并定期更换密码,以保护数据库的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值