使用Burp Suite对登录页面进行字典攻击

已于 2023-06-29 17:44:38 修改
阅读量714 收藏 5
点赞数 2
文章标签: linux 安全
于 2023-05-24 21:34:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoma920/article/details/130855400
版权
本文详细介绍了如何使用BurpSuite对登录页面进行字典攻击,包括设置代理、拦截请求、加载字典文件和分析结果。通过示例展示了在OWASPBVWA靶场或DVWA靶场上操作的过程,强调了字典攻击在Web应用安全测试中的应用。
摘要由CSDN通过智能技术生成

使用Burp Suite

使用Burp Suite对登录页面进行字典攻击

一旦获得了目标应用程序的有效用户名列表,就可以尝试爆破攻击,爆破攻击过程中会尝试密码所有可能的字符组合,直到找到有效的密码。

考虑到大量的字符组合以及客户端和服务器之间的响应时间,因此暴力攻击在Web应用程序中是不可行的。
一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。 在本文中,将使用BurpSuite
Intruder尝试对登录页面进行字典攻击。

将使用WackoPicko admin section login来进行此次攻击实验:

1. 开启OWASP BVWA靶场或者使用phpVstudy搭建dvwa靶场

可参照我该篇作品搭建: https://blog.csdn.net/xiaoma920/article/details/130915003?spm=1001.2014.3001.5502

2. 在kali linux中开启Burp Suite

这个实验可以使用kali linux中的Burp Suite Community版本来做,也可以使用windows 10系统下的Burp Suite Professional来做。
请添加图片描述

3. 打开Burp Suite设置代理

(1)将burpsuite设置为代理工作模式

请添加图片描述

(2)配置FireFox浏览器使用burpsuite代理

右上角设置滑动到最下方
右上角

最低0.47元/天 解锁文章
20210308020 马翔
关注
burpsuite字典破解密码
qq_50003466的博客
11-06 5138
(实验开始前要把网页选项里的服务器设置成代理服务器,我们的burpsuite就相当于一个代理服务器)这点可以百度 首先我们的目标是某大学的教务系统,打开登录界面: 我们先试着输入密码123456(乱猜的),burpsuite也捕捉到了数据包:(这里要注意收到包后然后要放包,你才能在网站上接受到数据,显示下一步) 在positions中选中要破解的pwd: 在payload中引入我们已经创建好的字典,点击start attack,开始攻击! 我们看到返回报文的长度就可以轻松判别密码是最与众不同的那个。(已经
暴力破解及BurpSuite
最新发布
qq_67812668的博客
08-06 1222
暴力破解的危害侵犯隐私:暴力破解可能会导致个人隐私泄露,比如银行账户、电子邮件、社交媒体账号等。这些信息可能被黑客用于从事非法活动,比如盗窃财产、诈骗等。经济损失:暴力破解可能会导致经济损失。黑客可以利用被盗的账号,进行网络钓鱼、诈骗、恶意软件攻击等活动,从而获取非法收益。数据破坏:暴力破解也可能导致数据破坏和系统崩溃。黑客可能会试图入侵系统并修改或删除重要文件,从而损坏数据或系统。这不仅会影响个人的业务运作,还可能影响整个企业或机构的稳定运行。
BurpSuite字典
08-16
全网最全burpsuite字典包
前端登录和攻击
Darlingmi的博客
02-18 1593
文章目录前端登录介绍Cookie+Session登录验证过程存在的问题Token登录登陆验证过程Token生成方式特点前端攻击方式xss--跨站脚本攻击xss攻击分类CSRF攻击CSRF攻击攻击原理及过程 前端登录介绍 Cookie+Session HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判
渗透测试常用的注入类字典(burpsuite测试可用)
12-27
渗透测试常用的注入类字典(burpsuite测试可用)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击
Liu_Bruce的博客
05-25 2685
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击 Burp Suite 是用于攻击Web应用的集成平台,这个平台集成了许多工具。如何使用它来破解一些网站的密码。首先我们查看一个需要用户名和密码的登录界面(这个实例使用了经典的Web渗透测试平台Pikachu),如下图所示: 首先,在Kali中启动Burp Suite这个工具,如下图所示: Burp Suite在这里的主要作用是在用户使用的浏览器和目标服务器之间充当一个中间人的角色。这样当我们在浏览器中输入数据之后,数据包首先会被提交到B
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用Burp爆破 常用 常见 用户名字典
python编写字典爆破网站登录|思路
向阳-Y.的博客
10-31 1689
在做渗透时,因为太菜了,不会用网上的爆破工具,自己就即兴写了一个简单的字典爆破。新手小白可以借鉴思路,就当学习了。大佬请绕道!! 如果有好用的爆破工具,欢迎大佬推荐~
如何使用burpsuite跑字典
qq_43943098的博客
07-13 1万+
什么是burpsuite Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 关于burpsuite的安装环境 我相信很多人做ctf都是会有kali系统的,他上面就有这个软件 安装教程:https://www.jia...
Kali LinuxBurpSuite工具爆破密码详解
qq_64868579的博客
08-13 7494
Burpsuite是一个用Java编写的Web应用程序测试工具,它提供了许多功能。Burp Suite是一套通过攻击模拟来进行Web应用程序漏洞扫描、测试、攻击和漏洞修复的著名工具
BrupSuite密码爆破
来日可期的博客
08-06 5008
比如:position中A处有a字典,B处有b字典,则两个字典将会循环搭配组合进行攻击处理,这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。:首先访问有user_token的页面,bp拦截到当前页面的连接,使用宏配置,正则表达过滤user_token,使用输入账号密码拦截,将拦截的内容先放到重发器里面测试,user_token是否会变,如果发生改变表明之前宏设置成功。多个参数同时遍历,只是一个参数选择一个字典,不重复选择字典,(多个字典中,字典短的遍历完,其余的字典停止遍历)。
网络安全——Burpsuite
weixin_54055099的博客
08-14 1964
Burpsuite使用,对DVWA靶机的暴力破解,sqli-labs第11关
burp字典_渗透中爆破字典的生成
热门推荐
weixin_39623273的博客
11-28 1万+
在渗透测试中,爆破在我看来都算是实在很无奈的行为了,一般都是实在找不到其他漏洞了才来开始爆破。下面来聊聊比较常见的爆破场景数字ID比较常见的就是网站手机4位或者6位的验证码的爆破。这类爆破都不用专门生成字典,burp直接怼就可以了。将下面的参数根据验证码的实际情况来设置就可以2.通用字典在爆破后台密码的时候,一般先用top1w,这种通用弱口令字典先去尝试。somd5提供了一些通用...
burp密码爆破字典_如何破解WiFi管理员密码
weixin_39814482的博客
11-22 3702
需要调试一下家里的wifi,但是管理员密码忘记了,只记得当初是6个8或8个6,经过尝试发现都不正确,不过正好试一下burpsuite的暴力破解。实践过程家里用的路由器是斐讯的,查一下发现管理员,我们先尝试登录,发现只需要输入密码就可以,没有次数限制,给爆破提供了可能。1、首先我们设置一下浏览器的代理,让burpsuite可以抓到包,以火狐浏览器为例首选项-高级设置(网络)-配置Firefox如何连...
burpsuite爆破字典
07-27
Burp Suite是一款功能强大的网络安全测试工具,可以用于拦截请求、分析数据包、进行漏洞扫描等。字典攻击Burp Suite的一项功能,它通过尝试使用预先准备好的密码列表来破解登录凭据。\[1\] 在进行字典攻击之前,需要准备攻击机和靶机,并配置Burp Suite的设置。首先,打开Burp Suite并设置浏览器代理,以便拦截请求。然后,进入靶场,将登录请求发送到Burp Suite的Intruder模块。在Intruder模块中,可以设置攻击类型为字典攻击,并配置用户名和密码字典。\[1\] 字典攻击的目的是通过尝试不同的用户名和密码组合来破解登录凭据。Burp Suite会自动将字典中的用户名和密码与登录请求进行组合,并发送给目标服务器进行验证。攻击结果可以在Burp Suite进行检查和验证。\[1\] 需要注意的是,字典攻击是一种暴力破解的方法,可能会违反法律和道德规范。在使用Burp Suite进行字典攻击时,务必遵守法律法规,并获得合法的授权。此外,为了防范字典攻击,建议使用强密码,并采取其他安全措施,如多因素认证等。\[2\] #### 引用[.reference_title] - *1* *2* [使用Burp Suite登录页面进行字典攻击](https://blog.csdn.net/lyj2775957394/article/details/130977391)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [后台字典爆破------Burp Suite](https://blog.csdn.net/Azxbc_/article/details/119559700)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

20210308020 马翔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值