黑基网 首页 资讯 知识汇 查看内容

用burpsuite破解网站后台密码

2017-4-16 20:29| 投稿: caiflyer |来自: 互联网

摘要: burpsuite工具很强大,主要用于WEB渗透方面,这里演示一下简单点的破解网站密码,需要用到java环境,自己下载后搭建一下吧。自己在本地搭建了一个留言本网站,通过分析发现了前台页面有“admin”关键字,所以留言本 ...

burpsuite工具很强大,主要用于WEB渗透方面,这里演示一下简单点的破解网站密码,需要用到java环境,自己下载后搭建一下吧。

自己在本地搭建了一个留言本网站,通过分析发现了前台页面有“admin”关键字,所以留言本管理员的帐号应该就是这个admin,所以接下来我们只需爆破密码即可。

先启动burp开启代理,一般默认的就是127.0.0.1,端口是8080,然后在到浏览器里对应设置一下就可以了。

设置好代理后打开留言本管理后台,随便输入一个密码进行抓包,可以看见burp返回了此网站登录的数据包。

抓到数据包后我们在把数据包发送到intruder选项里,如上图所示。

然后在依次选择导航栏里的intruder选项下的positions,这里就要对数据包进行分析,可以看见数据包里有些数据默认加上了$$这个符号,其实就是变量的意思,把默认变量都清除一下clear$下。

清除后,我们需要自己来添加你要改变的值,这里我们只需爆破密码,所以只需改变一下password后边的值即可,选择123456这个值点击add$按钮添加为变量,变成了$123456$,这样burp就会不断的改变这个值去向网站发送该登录数据包。

配置好数据包后我们还要来设置一下字典,这才是整个成功与否的核心,点击Payloads选项load加载一下你的密码字典。

这里设置一下破解速度线程,默认为5。

最后万事俱备只欠东风了,在点击菜单里intruder下的start attack开始破解,跑完字典后,我们在来分析,由图可以发现规律,凡是长度为246的都是错误的密码,只有一行为213,说明这行所对应的就是正确的密码!所以,正确的密码应为admin888,这种是比较简单点的爆破,希望对新手朋友有用。文章仅供技术参考,技术渣欢迎批评指正!

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6406071792276521217/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部