使用surpsuite进行爆破

最新推荐文章于 2023-07-18 17:24:55 发布
最新推荐文章于 2023-07-18 17:24:55 发布
阅读量887 收藏 1
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaohua_de/article/details/78005247
版权

Surp可以对抓到的http包的参数进行配置,从而进行用户名和密码进行爆破。



1  假如我们知道有admin这个用户




2 开启burp抓包,并登录上面的web,这里用户名密码设置为1111  2222,抓到的包如下




3 把包的内容拷贝到Intruder中




4 使用Intruder修改http包中的参数,用户名改为固定的admin,需要爆破的密码用$$把2222引起来,也就是告诉burp这个参数需要做单独的配置。





5 配置playload 密码字典 并点击Start attack进行爆破




6 挑选正确的回应,得到正确的密码



可以看到password的密码对应的response回应的大小和别的不一样,说明这个是正确的。

iihacker_cat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RAR压缩包密码爆破工具
05-28
基于python编写的rar压缩包密码爆破工具,可以针对加密的rar文件密码进行爆破
burp suite 抓包
weixin_45883291的博客
01-14 663
配置Burp代理 依次点击Proxy —> Options —> add —> Binding —>设置端口和IP —> OK IP设置为本机回环IP(127.0.0.1),端口设置为8080 勾选已有的默认(第一个),也可以选自己配置的(第二个) 配置浏览器的代理 以我自己电脑上的 firefox为例 打开浏览器,选择菜单,选择选项,拉到最后,点击设置 选择手...
Burpsuite安装教程,附Link
猪大肠的博客
10-19 2684
Burpsuite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。下面介绍一下安装方法。
Burpsuite的基本使用介绍
haoshangguan的博客
10-12 5434
Burpsuite Proxy模块 intercept介绍 Forward表示将截断的HTTP或HTTPS请求发送到服务器。 Drop表示把截断的HTTP或HTTPS请求丢弃。 Intercept is on 和Intercept is off 表示开启或关闭代理截断功能。 Action表示将截断的HTTP或HTTPS请求发送到其他模块或做其他处理。 对Intercept进行Raw Hex Params Header切换查看不同的数据格式。 截断后会有raw Hex Params Header 切换查看不同
sqlmap 使用爆破记录
最新发布
野路子云遇见不同的自己
07-18 1177
sqlmap -u 网址 -T uname - C login_name,pass,username --dump #-C 指定要找的列、 --dump。sqlmap -u 网址 --dbs --dbms mysql -T admin -C user,pwd --dump #查询具体列的值。sqlmap -u 网址 --dbs --dbms mysql -D cmxt --tables #cmxt 是数据库。搜索 -》 公司 inurl:asp?
如何使用sqlmap爆库和挂马
Leslieyzz的博客
01-19 2283
如何使用sqlmap爆库和挂马的技术博客
API fuzz字典 api爆破字典
03-25
因为找了很久有些是比较古老的字典,一直没收获,直到自己去整了一个。 字典包含我在野外看到的 API 函数名称。 所有 API 函数名称动词 所有 API 函数名称名词 API 函数名动词,前导字符大写 函数名称动词,前导...
爆破字典.txt
05-13
文件的百度云网址为链接: https://pan.baidu.com/s/1hbS3j9pSmnIjfTp2RKWPlA, 提取码:见资源文件爆破字典.txt。...4)爆破字典 1.7M 5)完美字典_triom发布_v09_工9.4亿条,无重复,无中文,8-16位,文件大小---1.66G
zip压缩包密码爆破工具
05-28
基于python编写的zip压缩包密码爆破工具,可以针对zip格式的加密压缩包进行密码爆破
爆破密码集,可用于常用爆破
02-03
弱口令密码合集,常用爆破密码集,可用于常用爆破,亲测可用!!! 弱口令密码合集,常用爆破密码集,可用于常用爆破,亲测可用!!! 弱口令密码合集,常用爆破密码集,可用于常用爆破,亲测可用!!! 弱口令...
10.100个渗透测试实战#10(DC-5)
qwsn
03-30 2632
世间一切即可努力 ...
vulnhub之Kioptrix Level 2
li1136594919的博客
06-09 375
靶机的默认网络方式为桥接,而且改为NAT模式后会自动更改,grud模式也进不去,来来回回折腾了两个小时,都还没搞定IP分配的问题,一度想要删掉靶机。
cengbox1靶机
小小猪的博客
07-03 273
cengbox1靶机 arp-scan -l 扫描靶机IP地址 nmap -sV -Pn -A x.x.x.136 扫描端口信息 访问80端口 对80端口进行爆破 发现登录界面 进行burp抓包 进行sqlmap爆破,sqlmap -r 4.txt --dbs,爆破出数据库 爆破出表 爆破出列 爆破出用户名和密码 登录,发现上传点 只能上传图片 制造后门 上传成功 msf进行监听 访问上传文件,反弹.
常见端口对应服务及入侵方式
爱是与世界平行
03-13 2947
常见端口对应服务及入侵方式一、端口服务及利用简析1.1 文件共享服务端口1.2 远程连接服务端口1.3 Web应用服务端口1.4 数据库端口服务1.5 邮件服务端口1.6 网络常见协议端口1.7 特殊服务端口二、端口入侵详情2.1 21端口入侵2.2 23端口入侵2.3 53端口入侵2.4 80端口入侵2.5 135端口入侵2.6 139/445端口入侵2.7 1433端口入侵2.8 1521端口...
计算机端口爆破,Tomcat8080端口爆破及原理 | kTWO-个人博客
weixin_42388680的博客
07-26 1389
Tomcat是非常常见的web服务程序,但是,有些管理员对Tomcat不熟悉,导致配置不当,很容易就会被入侵,使用8080爆破工具扫描很容易就能找到大量的不安全不服气,也很容易被提权,博主之前也使用工具进行爆破,后来就先弄清楚其原理,经过后来的研究终于弄明白了Tomcat的登陆认证原理。下面进入正题。一、Tomcat基础认证说白了就是登陆tomcat。例子:http://101.201.151....
burpsuite简介
热门推荐
zhang14916的博客
08-11 4万+
1 burpsuite简介 burpsuite作为web渗透较为常用的软件,有着9个比较常用的模块——proxy,target,intruder,comparer,repeater,decoder,extendere,sqlmap,csrf。下面将对这九个模块进行一一介绍 1.1 proxy proxy代理模块是BurpSuite的核心功能,作为一个在浏览器和目标应用程序之间的中间人,允许你...
网络安全渗透神器——Burp Suite使用教程
2301_77732591的博客
04-23 4036
目的:为了解密HTTPS流量HTTPS为了传输数据加密安全性,在原有的HTTP协议上加入了套接字层SSL协议,并通过CA证书验证服务器身份,并对通信消息进行加密,为了抓取到HTTPS的数据流量一个重要的介质是BuspSuite的CA证书。
vulnhub-five86-1
qq_41810304的博客
02-22 402
下载地址:https://www.vulnhub.com/entry/five86-1,417/ 前言: 作为小白(参考我写过的其他文章前言,懒得再来一遍了) Kali:192.168.1.4 目标机:192.168.1.27 信息收集: 漏洞挖掘: 分别访问80和10000端口。80端口访问后,页面源码如下: 访问10000端口发现登录页面,确认该端口是一个cms网页,但...
在kali上使用sqlmap进行爆破
learninger12的博客
02-13 6102
sqlmap进行爆破 接下来看一下sqlmap的版本: 我们进行爆破的时候,一定要找有注入点的,比如这样的: 再来一个没有注入的,来做一下对比: 这里我们就可以看的出来,在地址栏中,我们会发现,有注入的,在网址的最后面会有一些不同的东西,没有注入的就没有东西,我们要找的就是有注入的东西,这样我们才能对网站进行爆破,下面进行爆破,获取网站的一些基本信息: 看上图的下方区域,我们可以清楚的看到一些基础信息,这里就不过多的解释了。 接下来是查...
python使用多进程进行密码爆破
05-30
密码爆破通常需要大量的...需要注意的是,在使用多进程进行密码爆破时,要注意不要超过目标系统的最大请求量,以免被目标系统检测到并阻止。同时,多进程爆破也可能会对本地计算机造成较大的负担,因此需要谨慎使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值