今天在做渗透测试的时候无意中扫描到了网站的tomcat后台。填写了一下账号和密码,burpsuit抓包看了一下:
红色方框圈出来的其实就是我们填写的、加密后的账号和密码,选中红框内的东西,右键,发送到Decoder
选择使用Base64解密一下,账号为11111,密码为22222。这是我随意输入的账号和密码,目的是观察发送过去的结构。所以很显然,结构就是
账号:密码
所以使用burpsuit爆破的思路就是,先从用户名爆破文件里面导入用户名,再在每一个用户名后面加一个冒号,最后再在每一个冒号后面添加所有可能的密码,再把这三个的结合体使用base64加密后发送给服务器,逐个尝试直到。也就是说我们需要给burpsuit导入三样东西,即:用户名表、冒号、密码表。
接下来就是使用burpsuit进行爆破了(这才是重点2333)。
如果你也操作到这里了,那就继续往下做~~~
返回Proxy的intercept选项卡,右键,选择“Send to Intruder”
在Intruder的中:
1.选择Positions,Attack type选择Sniper,选中使用base64加密过的那一段密文,点击右侧的Add$
2.选择Payloads,Payload type选择Custom iterator
3.Posion选择1,点击下方的Clear,点击Load items from file,选择一个用户名爆破文件(网上找一个下载到本机)
4.Posion选择2,点击下方的Clear,在Add出输入 : (注意是英文),点击Add
5.Posion选择3,点击下方的Clear,点击Load items from file,选择一个密码爆破文件(网上找一个下载到本机)
6.在Payload Processing中的Add,选择Encode,然后选择Base64-encode,点击ok
7.在Payload Encoding中,取消勾选URL-encode
8.点击 Start attack,开始爆破。
等待爆破完成后,我们点击length,或者查看status码即可直到哪一个是正确的账号和密码。(此时我们看到的是加密后的)
然而,可能是我的字典太小了,没爆破出来 ~T_T~