标签:用户名 爆破 点击 Intercept Burp Suite 抓包
原文链接:https://jingyan.baidu.com/article/ca41422f054c881eae99eda0.htmlBurp Suite抓包爆破,怎么爆破密码(详细多图)
Burp Suite功能强大,这里只对其基本配置和页面弱口令爆破功能进行说明。
工具/原料
-
Burp Suite
方法/步骤
-
1
首先要安装java JDK,然后安装burp suite软件,打开工具包中的Burpsuite文件夹,该文件夹里有两个jar包,双击打开BurpLoader.jar
-
2
打开后点击I Accept,next后点击Start Burp
-
3
然后需要,配置Burp 代理
依次点击Proxy —> Options —> add —> Binding —>设置端口和IP —> OK
IP设置为本机回环IP(127.0.0.1),端口设置为8080
-
4
然后打开Burp已经有默认的代理127.0.0.1:8080,勾选即可用。
-
5
配置浏览器的代理,这里以firefox为例,其它浏览器类似。
打开firefox —> 打开菜单 —> 选项
然后高级—— > 设置
-
6
选择 手动配置代理 —> 设置代理IP 127.0.0.1 —> 端口8080 —> 选中 为所有协议使用相同代理 —> 确定
-
7
以上设置完成后,就可以进行抓包爆破了。
首先进行抓包,Proxy —> Intercept —Intercept is off/on
这里:Intercept is off代表不抓包,Intercept is on抓包。
设置Intercept is on时,点击需要抓取包的页面,就可以抓取请求包
-
8
以下以抓取weblogic登录时的请求包为例讲解。
输入用户名和密码 —> 设置Intercept is on —> 点击登录 —> 抓包成功
-
9
如果抓取登录的请求包后并且用户名和密码都是明文的话,便可进行爆破。
-
10
接下来,爆破操作步骤如下:
Action —> Sent to Intruder
-
11
Intruder —> Positions
-
12
单击Clear ,然后分别 选中admin —> Add
选中123456 —> Add
-
13
选择爆破模式:Cluster bomb
-
14
在弹出的对话框中,添加用户名字典和密码字典,然后点击 Payloads
-
15
当然你也可以写好一个txt文件,导入即可。
-
16
执行爆破:点击Start attack
-
17
结果查看,通过Length来判断爆破是否成功。比如下图中,可见Length列为6928,其它都为5431。
那么可以根据这个长度判断出,爆破出的用户名是admin密码是axis2。
爆破成功的用户名和密码返回长度与失败的返回长度差异很大。
标签:用户名,爆破,点击,Intercept,Burp,Suite,抓包 来源: https://blog.csdn.net/liuno0/article/details/100176017
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。