我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!
一、BurpSuite 指定后台密码穷举
1、BurpSuite_v2021的安装
(1)Burpsuite_v2021版本下载、激活工具和方法
(2)安装过程:略
2、BurpSuite之Intruder详细介绍
(1)Burp Intruder的组成:四个模块
- Target 用于配置目标服务器进行攻击的详细信息。
- Positions 设置Payloads的插入点以及攻击类型(攻击模式)。
- Payloads 设置payload,配置字典。
- Options 此选项卡包含了request headers,request engine,attack results ,grep match,grep_extrack,grep payloads和redirections。可以发动攻击之前,在主要Intruder的UI上编辑这些选项,大部分设置也可以在攻击时对已在运行的窗口进行修改。
(2)Positions模块:四个攻击模式
- Sniper:狙击手模式,顾名思义,字典里取一行,打一发请求。
- Battering ram:散弹枪模式,顾名思义,字典里取一行,打一发请求。相同的输入放到多个位置的情况,所有位置填充一样的值。
- Pitchfork:音叉模式,顾名思义,相当于大合唱中有默契地各干各的事情,每个位置都有一个字典,打一发请求,大家一起取下一行。请求的数量由字典行最少哪位决定。
- Cluster bomb:集束炸弹,顾名思义,爆炸时迸射出许多小炸弹的集束炸弹,最复杂的一个模式,类似于数学中的笛卡尔积,每个位置都有一个字典,通常字典数量不超过3个,不然破解过程很漫长,可能要等到下次宇宙大爆炸。
(3)参考链接: 传送门
3、指定后台密码穷举过程
(1)拦截:http://www.blogs.com
(2)送入Intruder模块,进行暴力破解:键入ctrl+i
(3)点击Start attack:开始攻击
筛选方法一:发现密码123456 
筛选方法二:发现密码123456 
(4)尝试登录:admin/123456
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/119428041