探测网站(四)burp suite暴力猜解密码

burp suite的intruder模块用来自动探测Web应用程序,我们可以用它来暴力猜解用户名和密码。首先准备用户名和密码字典,这个网上可以用csdn、天涯、人人等泄露的用户名和密码,也可以用字典工具自己生成,超级木头这款工具还是很好用的(附上易踪网分享链接http://pan.baidu.com/share/link?shareid=58963&uk=537055152)。
首先我们抓到登陆网站的post包,IE设置代理服务器,用burp suite即可。有关burp suite的使用方法可参考https://www.yeetrack.com/?p=173。抓取的post包如图:

可以点击该报查看一下具体信息,右击该post包,点击send to intruder。开始进入intruder界面:

图中红色的部分是软件自动探测出来的动态的数据,可以选择取消,也可以添加,这些动态的数据可以动态地在我们的字典里加载,提交给服务器。
这里只留下username和password,其余取消动态加载,如图:

之后选择payload(载荷模块),载入我们的字典,

(字典是需要我们手动生成的) ,载入完成后,我们可以在左侧看到字典内容列表。 之后可以暴力破解了,点击intruder—>start attack,

进入运行界面,我们可以看到每一次的破解结果,可以根据返回的数据内容来判断是否登录成功,不过一般Web服务器会设置限制次数,多次失败的登录可能导致IP 被封。结果截图:



本文由youthflies发表在易踪网上的原创文章,本文地址:https://www.yeetrack.com/?p=213
谷歌渗透测试之信息搜集
探测网站(一)burp suite探测Web目录
探测网站(二)httprint探测Web服务器类型
探测网站(三)nikto探测Web服务器漏洞
探测网站(四)burp suite暴力猜解密码

发表评论

电子邮件地址不会被公开。 必填项已用*标注

(Spamcheck Enabled)