弱口令爆破工具Burpsuite的使用方法

admmin   ·   发表于 2021-02-22 18:39:42   ·   闲聊灌水区

暴力破解:什么是暴力破解 顾名思义 使用最简单粗暴的方法 破解一个网站的后台账户 好比你一直尝试输入一个密码直到正确登入
burpsuite的原理就是使用一个账户名字典和密码字典 不断的提供尝试 来达到自动尝试登录账户 密码 直到正确
使用方法#
首先你需要一个或多个字典 网站管理员一般设置管理员账户 和密码时 安全意识比较薄弱 通常会设置一些简单的密码 如admin admin123 pw123 passwd 123456 面对管理员登录框 我们一般会尝试这些密码 而暴力破解就是我们来利用一些工具 来自动实现 其实就是两个步骤 第一个步骤 我们需要一个字典 用户名字典 和密码字典 平时大家可以收集这些字典 网络上有非常多
第二个步骤就是我们要告诉我们的工具要把这个字典输入在哪里
现在我们进行个演示

今天我们用到的靶场是DVWA的一个靶场 这个靶场有几个难度 像低的话其实没有什么难度 很简单就可以破解
普通的话就是多少秒只能不能再尝试 这个绕过也非常简单 只需要设置下每次提交的时间就可以了 今天我们要讲解的是就是一个普通的后台登录 首先需要抓包 我们要去设置 浏览器本地代理为127.0.0.1 软件里也要一样
如果出现了问题尝试换浏览器 和burp的版本 现在我们直接随便输入然后点登录

这边就抓到了他的数据 现在我们要把他发送到intruder

这就是我们抓到的这个包 然后他已经帮我们自动选择了 我们把他取消掉 自己选择上账号和密码

然后我们要选择我们的字典 字典的输入方式会根据我们选择的模式输入 模式这里就不一一讲解了 可以自己去试
每种模式可导入字典的数量也不一样
第一个是SNIPER 这个模式只允许我们载入一个字典 会把用户名不变 把字典加载到密码里面
第二个是battering 这个模式也是只能导入一个字典 会把我们字典同时加载在账号密码里面
这两个模式比较鸡柱一般用不到
常用的模式是cluster bomb 可以导入两个字典 账号和密码
操作模式是把每个用户名都加载一遍所有的密码字典

当我们开始操作之后可以查找一下我们的攻击日志 里面会有一个长度不一样的 代表的就是返回结果不一样 我们拿他尝试一下登录

喜欢的点个赞 谢谢支持

用户名金币积分时间理由
admin 5.00 0 2021-02-23 17:05:53 内容简单了点 鼓励一下

打赏我,让我更有动力~

2 条回复   |  直到 2021-6-15 | 3000 次浏览

merlinzhs
发表于 2021-5-31

1

评论列表

  • 加载数据中...

编写评论内容

lycy
发表于 2021-6-15

请问:我试了一下,出现的是:攻击日志里面正确的账号长度也跟其他的一样,这是什么原因?

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.