burp suite的intruder模块用来自动探测Web应用程序,我们可以用它来暴力猜解用户名和密码。首先准备用户名和密码字典,这个网上可以用csdn、天涯、人人等泄露的用户名和密码,也可以用字典工具自己生成,超级木头这款工具还是很好用的 首先我们抓到登陆网站的post包,IE设置代理服务器,用burp suite即可。有关burp suite的使用方法可参考 www.2cto.com/Article/201209/155614.html 。 抓取的post包如图: ,可以点击该报查看一下具体信息,右击该post包,点击send to intruder。开始进入intruder界面: 图中红色的部分是软件自动探测出来的动态的数据,可以选择取消,也可以添加,这些动态的数据可以动态地在我们的字典里加载,提交给服务器。
这里只留下username和password,其余取消动态加载,如图: 之后选择payload(载荷模块),载入我们的字典, (字典是需要我们手动生成的) ,载入完成后,我们可以在左侧看到字典内容列表。 之后可以暴力 破解 了,点击intruder—>start attack, 进入运行界面,我们可以看到每一次的破解结果,可以根据返回的数据内容来判断是否登录成功,不过一般Web服务器会设置限制次数,多次失败的登录可能导致IP 被封。结果截图
查看更多关于探测网站(四)burp suite暴力猜解密码 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13663