43.网络安全渗透测试—[穷举篇6]—[指定后台密码穷举]

本文阅读 3 分钟
首页 代码,C/C#/C++ 正文

我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!

一、BurpSuite 指定后台密码穷举

1、BurpSuite_v2021的安装

(1)Burpsuite_v2021版本下载、激活工具和方法

(2)安装过程:

2、BurpSuite之Intruder详细介绍

(1)Burp Intruder的组成:四个模块

  • Target 用于配置目标服务器进行攻击的详细信息。
  • Positions 设置Payloads的插入点以及攻击类型(攻击模式)。
  • Payloads 设置payload,配置字典。
  • Options 此选项卡包含了request headers,request engine,attack results ,grep match,grep_extrack,grep payloads和redirections。可以发动攻击之前,在主要Intruder的UI上编辑这些选项,大部分设置也可以在攻击时对已在运行的窗口进行修改。

(2)Positions模块:四个攻击模式

  • Sniper:狙击手模式,顾名思义,字典里取一行,打一发请求。
  • Battering ram:散弹枪模式,顾名思义,字典里取一行,打一发请求。相同的输入放到多个位置的情况,所有位置填充一样的值。
  • Pitchfork:音叉模式,顾名思义,相当于大合唱中有默契地各干各的事情,每个位置都有一个字典,打一发请求,大家一起取下一行。请求的数量由字典行最少哪位决定。
  • Cluster bomb:集束炸弹,顾名思义,爆炸时迸射出许多小炸弹的集束炸弹,最复杂的一个模式,类似于数学中的笛卡尔积,每个位置都有一个字典,通常字典数量不超过3个,不然破解过程很漫长,可能要等到下次宇宙大爆炸。

(3)参考链接: 传送门

3、指定后台密码穷举过程

(1)拦截:http://www.blogs.com

img

img

(2)送入Intruder模块,进行暴力破解:键入ctrl+i

img img img img (3)点击Start attack:开始攻击

筛选方法一:发现密码123456 img 筛选方法二:发现密码123456 img (4)尝试登录:admin/123456

img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/119428041
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复