前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >BurpSuite之暴力破解用户密码

BurpSuite之暴力破解用户密码

作者头像
用户6367961
发布2020-05-01 19:01:38
7.7K0
发布2020-05-01 19:01:38
举报
文章被收录于专栏:自学测试之道

针对用户名和密码的破解,可以有以下几种方式

1、已知用户名,未知密码

2、用户名和密码都未知

3、已知密码,未知用户名

以上都可利用BurpSuite Intrude模块进行暴力破解

一、环境准备

下面以【与非网】进行破解(含有token的网址是不能进行暴力破解的!)

浏览器:360浏览器并设置代理,BurpSuite也进行设置代理,如下图:

地址:https://sso.eefocus.com/module.php/core/loginuserpass.php?AuthState=_267e9d6efd21517fc749dfb6f09ab6378161a3072d%3Ahttps%3A%2F%2Fsso.eefocus.com%2Fsaml2%2Fidp%2FSSOService.php%3Fspentityid%3Dhttps%253A%252F%252Fwww.eefocus.com%252Farticle%252Fsp%26cookieTime%3D1587214141%26RelayState%3Dhttps%253A%252F%252Fwww.eefocus.com%252Farticle%252Fp1

数据文本txt:文本中必须包含有正确账号和密码

username.txt

password.txt

一、已知用户名,未知密码

1、浏览器中打开登录页面并设置代理

2、BurpSuite工具上设置代理,并开启截取开关

3、在浏览器中输入正确的账号和错误的密码,点击登录按钮

4、在BurpSuite工具中点击Forward按钮,点击5次(次数是为了网页弹出错误提示)

5、在BurpSuite工具找到包含账号和密码的请求,然后鼠标右键选择转到Intruder,然后进入Intruder页面。

其中:

Sniper 只针对一个位置进行探测

Battering ram 针对多个位置使用一个Payload

Pitchfork 针对多个位置使用不同的多个Payload

Cluster Bomb 针对多个位置,全部组合

6、选择密码文档,并执行操作

7、查看结果

三、未知账号和密码

1、前面的步骤1到步骤5都一致,但步骤5开始需增加以下选择项

步骤5,如图把账号和密码都加上爆破符号

2、在步骤6中也需同样,增加用户名的txt文本项

3、点击Start attack,查看结果

四、未知用户账号,已知密码

1、操作步骤同【二】类似,选择爆破对象为用户账号、上传文档时选择上传用户账号文档

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-04-20,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 自学测试之道 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
访问管理
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档