burp爆破

用burpsuit对网页上的一些用户名密码之类的爆破

这里就用墨者学院文件包含那道题的那个登录页面吧…

设置代理 先用burp抓取

黑色圈住的就是用户名和密码的函数(应该是叫函数吧…..) 红色圈住的就是之前自己输入的账号和密码

能看到是明文密码 然后send to intruder

这里他实现标记了要爆破的位置 不是我们要爆破的位置 我们先用上边的clear把标记清除

然后选中要爆破的地址 这里都是admin前边那个是我输入的账号后边的是密码 然后点击add分别添加

在attack type那里选择cluster bomb

转到payloads那边

看到payload set 右边下拉发现有1,2分别是我们刚刚添加的两个地址

下边方框右边的add是手动添加账号密码 有字典的话点load载入字典

添加完成后选择intruder→start attack

然后找到length里边那个长度不一样的就是我们要的账号密码

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 强网杯-随便注

    return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

  • ctfshow-web入门爆破

    中年的出生年月日居然不给要自己爆破,这里可以通过检验身份证号码是否合理,筛选符合条件的身份证,可惜我的代码写的太烂,写出来的我自己都不敢看,这里就不贴了,放一个...

  • 代码审计day8

    CSRF ( Cross-site request forgery )跨站请求伪造,也有人写出XSRF。黑客伪造用户的HTTP请求。然后将这个HTTP请求发送给...

  • 取消Windows Server 2008 R2密码过期提示

    之前,我写过一篇文章“Windows server 2008 r2到Windows 7的改造之路”,下来Windows Server 2008 R2像Windo...

    williamwong
  • 使用 Fail2ban 防止 ssh 暴力破解攻击

    Fail2ban 通过扫描错误日志来禁止某些 IP 访问服务,它会直接修改防火墙规则来阻止来自这些 IP的请求。

    饶文津
  • 【LeetCode】 561. Array Partition I

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。 ...

    韩旭051
  • 【python爬虫】python使用代理爬虫例子

    原文地址:http://www.cnblogs.com/bbcar/p/3424790.html

    后端技术漫谈
  • Swift正式登录Windows:苹果跨平台语言值几钱?

    近日,Swift 官方博客宣布将 Swift 正式引入 Windows,并附上了镜像包的下载链接。Swift 是苹果新推出的编程语言,专门针对 OS X 和 i...

    深度学习与Python
  • 坚持高端品牌定位的老板电器品牌全球化路径该怎么走?

    5月27日盘中老板电器(002508)涨停,截至发稿,股价报34.18元,成交6.53亿元,换手率2.12%,振幅9.91%。

    庄帅
  • go get golang.org/x 包失败解决方法

    由于限制问题,国内使用 go get 安装 golang 官方包可能会失败,如我自己在安装 collidermain 时,出现了以下报错:

    双面人

扫码关注云+社区

领取腾讯云代金券