利用burp suite进行弱口令爆破 (攻防世界web weak_auth)

最新推荐文章于 2024-08-20 14:48:54 发布
最新推荐文章于 2024-08-20 14:48:54 发布
阅读量5.1k 收藏 16
点赞数 2
分类专栏: # web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/104555086
版权
本文介绍了如何使用burp suite进行弱口令爆破,以攻防世界的web weak_auth题目为例。在kali linux环境下,通过F12查看源码获取提示,然后使用burp suite抓包并导入字典进行攻击,最终找到正确答案:username为admin,password对应的hash值为cyberpeace{1d6893355054d92e010b79399279a107}。
摘要由CSDN通过智能技术生成

终于刷到这种题了,做二进制的时候用过python爆破…
用burp suite跑字典还是第一次。
那就从这个简单的字典爆破开始吧。
利用工具:

  • burp suite
  • Blasting_dictionary-mastergithub字典
    爆破环境:
  • kali linux

正题开始

题目叫做weak_auth,翻译过来就是弱口令爆破
在这里插入图片描述
打开是一个登陆界面,username和password都使用admin进行尝试,F12查看网页源码,发现下面有一个提示:你可能需要一个字典。
在这里插入图片描述
其实这一题只爆破了一半,因为答案的username就是admin(一般简单的都是这个)。
下面开始抓包过程:
注意,抓包抓的是输入username和password过程的抓包,所以要在这个链接打开之后才能开始进行抓包。

最低0.47元/天 解锁文章
_n19hT
关注
专栏目录
【网络安全 | CTF】攻防世界 weak_auth 解题详析
等风来
05-21 5617
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。正常来说,登录失败时会重定向至Login页面,而。该题密码较简单,故使用常规字典爆破可得flag。1.将请求包发送至Intruder并。用户名admin,密码1进行登录。2.设置Payload,添加字典。姿势较简单,本文不再赘述。3.启动爆破,查看结果。
基础弱口令暴力破解
若谷的博客
07-12 609
本实验中我们针对网站中的登录页面进行暴力破解,通过使用 Burpsuite 工具对网页进行暴力破解,体会学习暴力破解的基本过程,以及学习如何使用Burpsuite 工具。
弱口令暴力破解实验
weixin_45817996的博客
05-07 1526
工具:burpsuite_pro_v2.0beta 破解版 下载地址:百度网盘 链接:https://pan.baidu.com/s/1oCRykg1X1TWY-KdwJ1sNQg 提取码:3jg6 环境:跳转提示 题目: 步骤:1. 打开 Burp 的拦截模式(proxy 工具栏下——intercept is on),同时浏览器打开代理设置,在火狐浏览器的界面随便输入密码,在burp中可以看到拦截的数据包。 2. 为了爆破密码,我们需要使用它的 Intruder 模块(攻...
弱口令(Weak Password)总结和爆破工具
最新发布
zzz6583zz的博客
08-20 990
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令
关于burp suite工具的弱口令爆破
sworddancing is the best one
07-18 6427
并非所有的弱口令都可以爆破,只有那些明文密码才可以利用burp suite工具进行侵入爆破,首先将数据包拦截,查看其密码是否为明文,如果是明文,才可进行一下步骤,如果不是明文密码,本文则无法实现密码的1爆破。 在proxy下action选项卡选择sent to intruder(将拦截到的数据包传送到intruder工具下),打开position,先clear清空一下默认所选中的爆破对象,然后选...
实验5 弱口令暴力破解(利用burpsuite暴力破解弱口令)
Sum
06-02 7367
实验5 弱口令暴力破解(利用burpsuite暴力破解弱口令) 预备知识 BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。 实验目的 利用Burp Suite
基于BurpSuite弱口令爆破
xiaoheizi的博客
06-12 1062
用户名错误就要重新猜用户名,而我们使用的是pikachu靶场,是不是就可以猜测pikachu就是用户名,然后再次使用工具爆破。因为很多网站的管理员用户名都是admin,所以我们先使用admin来猜解密码,点击login提示用户名或密码错误。字典跑完后点击按照Length排序,发现这里有几个值明显不一样,说明有可能爆破到了正确的结果,查看密码是123456,输入网页测试发现成功登录。被§§符号包裹的都是变量,我们只针对密码进行爆破,先点击右边的cleanr清除§§符号,然后点选中密码,点击add添加§§。
利用burpsuite爆破有验证码的弱口令
2301_80453793的博客
05-28 1582
(2)、在此面输入admin,密码和验证码随便输入一个,点击登入之前启用burpsuite的抓包功能,然后送入到intruder模块。首先在payload set选择2,在payload type上选择Extension-generated,然后点击select generator,在弹出的窗口中选择xp_CAPTCHA,最后点击OK。在www文件夹下最好在创建一个文件夹,名字要一个英文名字。光标在第14行时,单击回车,然后输入xiapao:,然后空格再输入复制的图像地址,最后再单击回车。
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 1929
一、在CTF的Web题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
利用 Burp Suite 进行密码爆破
大河之犬的博客
01-13 3800
使用 BP 工具的Intruder模块高度可配置,可以对目标网站进行密码爆破,一般被用于网站的安全渗透测试场景BP 工具的IntruderPositions:设置请求中的参数及攻击类型Payloads:为上面的参数设置数据集、参数编码、加密等功能:指定请求线程及延时时间Options:请求头、攻击结果、重定向等相关的配置。
burpsuite爆破密码说明
11-11
使用burpsuite爆破密码具体步骤,包含截图。
Burp Suite社区版 (burpsuite_community_linux_v2021_10_3.sh)
01-09
Burp Suite社区版 (burpsuite_community_linux_v2021_10_3.sh适用于Linux系统) 可免费使用,是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。...
WEB1----最基本的弱口令爆破(实际上就是burpsuite的基本使用操作)
qq_51419052的博客
07-23 416
WEB1----最基本的弱口令爆破(实际上就是burpsuite的基本使用操作) 步骤: burpsuite抓包 导入常用密码字典 对passwd进行爆破 找出爆破响应报文长度异常的响应报文 获得flag burpsuite的使用: 配置firefox 的代理 关闭intercept 发送到intruder,对passwd进行爆破爆破结果,在密码为123456时,报文长度不同,点击查看,获得flag。 ...
利用burpsuite爆破弱口令密码
2301_80453793的博客
05-27 1056
这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择user=和pass=后面的东西add加上§§符号。这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择pass=后面的东西add加上§§符号。先打开burpsuite的抓包功能,然后在网站中随便输入一个账号和密码,点击登录。先打开burpsuite的抓包功能,然后在网站中随便输入一个密码,点击登录。
CTF burpsuite弱口令爆破四个模式
东隅的博客
01-01 747
一 Sniper(狙击手模式) 狙击手模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下组合(除原始数据外): attack NO. location A location B 1 1 no replace 2 2 no replace 3 no replace 1 4 no replace 2 二Battering
BurpSuite简单使用:弱口令
qq_73277309的博客
05-21 281
在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献;1、在火狐浏览器中下载代理扩展:FoxyProxy。首先进入登录界面,然后打开代理和burp。该文章仅用于信息防御技术的交流和学习,经过验证发现,该账号密码确实是正确的。2、使用burp拦截包。
网络安全CTF系列培训教程之Web篇-burpsuite爆破弱密码
ctfayang的博客
03-11 2613
本文介绍了Burpsuite的设置以及如何爆破攻击web 密码。
burpsuite弱口令爆破
09-03
Burp Suite是一款专业的网络安全测试工具,其中的Intruder模块可以用于弱口令爆破。在使用Burp Suite进行弱口令爆破时,首先需要选择弱口令爆破模式,并添加一个爆破字典。 对于题目中的weak_auth,它是指弱口令爆破。在登录界面中,我们可以尝试使用admin作为用户名和密码进行尝试。同时,在网页源码中也提示了可能需要一个字典。 在进行弱口令爆破之前,需要进行抓包操作。抓包的目的是捕获输入用户名和密码的过程,以便进行后续的爆破操作。在抓包过程中,需要注意只需要框选出password字段即可,前面的username字段不需要包含在内。 通过以上步骤,我们可以使用Burp Suite弱口令爆破功能进行相应的操作。请注意,在进行任何安全测试操作时,应该遵守法律和道德规范,只在合法授权的范围内使用这些工具。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [利用burp suite进行弱口令爆破攻防世界web weak_auth)](https://blog.csdn.net/weixin_43092232/article/details/104555086)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [基于BurpSuite弱口令爆破](https://blog.csdn.net/m0_51345235/article/details/131174757)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值