2. 程式人生 > >Burp suite 暴力破解shell密碼詳細教程

Burp suite 暴力破解shell密碼詳細教程

阿新 發佈:2019-01-20

http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.html

Burp suite是由portswigger開 發的一套用於Web滲透測試的整合套件,它包含了spider,scanner(付費版 本),intruder,repeater,sequencer,decoder,comparer等模組,每個模組都有其獨特的用途,給專業和非專業的 Web滲透測試人員的測試工作帶來了極大的便利。

Burpsuite需要JAVA支援,請先安裝JAVA環境。

首先我們先開啟Burpsuite,proxy >> intercept >>intercept off,把攔截(intercept)功能關閉,因為我們這裡不需要進行資料攔截

然後,使用代理埠8080

設定好了以後,我們開啟我們的瀏覽器,設定瀏覽器的代理,這裡我使用的是火狐瀏覽器,當然,其他瀏覽器也可以,設定代理即可

我們這裡的埠是8080,如果前面你的埠被佔用了,你可以換成其他埠,這裡填寫你更換的埠,提示一下,如果不使用這個軟體的話,記得把瀏覽器的代理給關掉哦,否則無法上網哦

這樣我們的burp_suite就可以成功抓取瀏覽器的資料了。

現在我們在瀏覽器上開啟我們的webshell,隨便輸入密碼,密碼錯誤,提示

我們抓取的資料包

然後,我們把抓到的POST請求包傳送到"入侵者"(intruder)中進行破解。因為我們輸入密碼進行驗證本身就是一個表單的POST請求。所以千萬不要選錯GET。如圖:

之後我們就會跳轉到侵入者功能選單頁面

我們在position(位置)這個選單頁選擇attack type(功能型別)為預設sniper即可。

然後,選中COOKIES中後半部分(深色)。 點選右邊第二個clear$按鈕,去掉$符號(非$,不知道這個符號怎麼打,哈哈)。

然後跳轉到payloads(負荷)功能標籤頁面。

這裡是密碼字典的一些配置。我們點選LOAD從一個檔案從匯入密碼(字典我會在本文後面提供下載地址)

如圖,我已經匯入了我的密碼字典,之後再跳轉到最後一個選項標籤選單頁面。這裡是對一些錯誤資訊過濾的配置。從剛才我們隨意輸入密碼返回的錯誤資訊中,隨意輸入部分即可。點選ADD新增

如果在這裡我們也可以不選擇,我們到後面根據包的大小也可以判斷密碼是否正確

之後就算配置完成了。現在就可以開始攻擊了!

XML/HTML Code複製內容到剪貼簿
  1. 584521  
  2. nohack  
  3. 45189946  
  4. hacksb  
  5. hackersb  
  6. heixiaozi  
  7. 360  
  8. sb360  
  9. 360sb  
  10. yushiwuzheng  
  11. wuzheng  
  12. spider  
  13. angel  
  14. 4ngel  
  15. yyswxws  
  16. lcx  
  17. nc  
  18. hackqingshu  
  19. qingshu  
  20. qingshu$  
  21. sz  
  22. sunzi  
  23. shunzi  
  24. [email protected]#  
  25. [email protected]#123  
  26. 123654  
  27. 123654789  
  28. 123654789!  
  29. 123654789.  
  30. aspadmin  
  31. phpadmin  
  32. jspadmin  
  33. aspxadmin  
  34. noadmin  
  35. cms  
  36. iamnotadmin  
  37. fuckit  
  38. fuckhack  
  39. fuckhacker  
  40. F19ht  
  41. f19ht  
  42. fight  
  43. hkmjj  
  44. chinared  
  45. ouou  
  46. hake  
  47. hakecc  
  48. wwwhakecc  
  49. 520hack  
  50. hack520  
  51. r4sky  
  52. ghost  
  53. baidu  
  54. yy  
  55. daoqq  
  56. daohao  
  57. sb  
  58. youaresb  
  59. caonimadebi  
  60. caonimade  
  61. worinima  
  62. wocaonima  
  63. caonimei  
  64. lunnijie  
  65. whatweb  
  66. baidusb  
  67. baiduadmin  
  68. chenxue  
  69. cnot  
  70. xxoxx  
  71. rinima  
  72. hkk007  
  73. chengnuo  
  74. wrsk  
  75. wrsky  
  76. 54321  
  77. yuemo  
  78. 521  
  79. *******  
  80. 4lert  
  81. yuemo  
  82. maek   
  83. dreamh  
  84. Shell  
  85. xxxxx  
  86. shell  
  87. 10011C120105101  
  88. fclshark  
  89. 19880118  
  90. 376186027  
  91. 654321  
  92. 535039  
  93. 000  
  94. 123  
  95. darkst  
  96. jcksyes  
  97. jcksyes  
  98. jinjin  
  99. 12345  
  100. sq19880602  
  101. jtk2352  
  102. sq19880602  
  103. kill  
  104. chengnuo  
  105. 45189946  
  106. 123321  
  107. hacker  
  108. hack  
  109. haode  
  110. chuang  
  111. aiezu  
  112. 981246  
  113. et520  
  114. 12  
  115. lx  
  116. lengxue  
  117. 20080808  
  118. aoyunhui  
  119. fucker  
  120. tiger  
  121. tig  
  122. tag  
  123. iloveshell  
  124. loveshell  
  125. yrpx  
  126. air  
  127. hkk007  
  128. wrsk  
  129. rinima  
  130. caonima  
  131. ceshi2009  
  132. kissy  
  133. 520  
  134. 52013  
  135. 5201314  
  136. 3452510  
  137. 1314520  
  138. rfkl  
  139. username  
  140. 847381979  
  141. jing  
  142. winner  
  143. 4816535  
  144. shaomo  
  145. zhack  
  146. mama  
  147. mama520  
  148. fuckyou  
  149. Fuckyou  
  150. FuckYou  
  151. lengfeng  
  152. lengfengsk  
  153. rensheng  
  154. rs  
  155. fuck  
  156. 123go  
  157. 1  
  158. xiaowu  
  159. Baike  
  160. admin888  
  161. honker  
  162. hongker  
  163. liner  
  164. lin  
  165. xiaoyi  
  166. xiaoe  
  167. 1  
  168. login  
  169. 888999  
  170. Evav  
  171. 13572468  
  172. Sa  
  173. sa  
  174. sasa  
  175. dangdang  
  176. webshell  
  177. lovehack7758  
  178. rfkl  
  179. 123  
  180. darkst  
  181. asp  
  182. hkmm  
  183. 133135136  
  184. 80sec  
  185. G.xp  
  186. gxp  
  187. 1992724  
  188. satan  
  189. Satan  
  190. yong  
  191. fst  
  192. f.s.t  
  193. F.S.T  
  194. noid  
  195. sadness  
  196. caodan  
  197. 96315001  
  198. admin  
  199. axiao   
  200. 847381979   
  201. rfkl  
  202. yuemo  
  203. 12  
  204. bzxyd   
  205. tonecan   
  206. bzxyd  
  207. 5201314   
  208. 3est   
  209. sin   
  210. 654321   
  211. ghost   
  212. C  
  213. cc  
  214. evil  
  215. evilhk  
  216. evilhack  
  217. evilhacker  
  218. yong  
  219. ying  
  220. webadmin  
  221. webadmin2  
  222. HqzX  
  223. tx  
  224. tengxin  
  225. tengxunsb  
  226. danteng  
  227. rusuan  
  228. dantong  
  229. youguest  
  230. cmdshell  
  231. Webshell  
  232. WebShell  
  233. sh3ll  
  234. h4ck  
  235. h4ck3r  
  236. ufo  
  237. ufohack  
  238. jiaozu  
  239. huaidan  
  240. jiaozhu  
  241. lover  
  242. love  
  243. daoker  
  244. daokers  
  245. daoke  

使用包大小,有時會受到網速或者其他誤差,所以能找到關鍵字就新增關鍵字吧!

burp suite需要安裝Java環境才可以執行,JDK6官方下載地址:

http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe

burpsuite_pro_v1.3.03 破解版免費下載:http://u.115.com/file/e6yeojob

相關推薦

Burp suite 暴力破解shell密碼詳細教程

http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.html Burp suite是由portswigger開 發的一套用於Web滲透測試的整合套件,它包含了spider,scanner(付費版 本),in

暴力破解無線密碼詳細教程2017

準備:筆記本一臺            u盤             kali             Win32 Disk Imager 第一步:執行Win32 Disk Imager安裝kali 到U盤,這個很簡單一鍵式或百度教程 第二步:開啟設定U盤啟動,不同型號只

詳細Python批量字典暴力破解zip密碼

## 工具破解 前兩天在網上下來了一波專案案例,結果全是加密的壓縮包,於是去網上找了一個壓縮包破解的工具 苦於工具破解太慢,一個壓縮包要好久,解壓了三個之後就放棄了,準備另尋他法 ## 密碼字典 巧的是破解的三個都是4位數字密碼,這讓我想到了依靠字典破解 說幹就幹,伸手就來 ![4位數字密碼字典](https

MySQL----初次修改密碼詳細教程

首先要保證配置好了環境變數 cmd要以管理員許可權執行 啟動伺服器 mysql -u root -p   (-u後邊是使用者名稱 -p後邊是密碼 ) 初次使用應該密碼為空, 不輸入直接回車 show databases; 記得加分號 選擇一個databa

暴力破解LINUX密碼

暴力破解LINUX密碼步驟:1、重啟電腦,在啟動選單時按e鍵,進入如下介面2、找到linux16所在行、按end鍵到到該行末尾新增 rd.break console=tty0 按Ctrl+x鍵3、按回車顯示出終端、輸入命令mount -o remount,rw /sysrootchroot /sysroot4

python實戰:暴力破解wifi密碼

工具: python3.0,pycharm python庫:pywifi,time 思路: 匯入模組 抓取網絡卡介面 斷開所有wifi 讀取密碼本 測試連線 設定睡眠時間 流程: 1.匯入模組 import pywifi from pywifi import c

用Java程式碼暴力破解WIFI密碼

開始進入正題。在網上找了很多wifi破解工具,都是linux平臺下用的,然後還不支援虛擬機器裝linux。因為很多筆記本裝虛擬機器都識別不了內建網絡卡。所以得把系統刻到U盤,然後用U盤啟動。但是我現在窮得連一條內褲都沒有了,哪來的U盤啊。於是就決定自己寫,而且還得用Java寫

如何在Windows平臺用Java程式碼暴力破解WIFI密碼

開始進入正題。在網上找了很多wifi破解工具,都是linux平臺下用的,然後還不支援虛擬機器裝linux。因為很多筆記本裝虛擬機器都識別不了內建網絡卡。所以得把系統刻到U盤,然後用U盤啟動。但是我現在窮得連一條內褲都沒有了,哪來的U盤啊。於是就決定自己寫,而且還得用Java寫

暴力破解 Linux密碼

1.首先我們需要一個“字典”,換而言之,就是密碼庫,可以用來破解Linux使用者的密碼 2.接下來,我用一個指令碼來給大家簡單的寫一下 #!/usr/bin/env python # -*- coding:utf-8 -*- import crypt def get_info(dfile

Linux Shell指令碼詳細教程

Shell簡介:什麼是Shell,Shell命令的兩種執行方式 Shell本身是一個用C語言編寫的程式,它是使用者使用Unix/Linux的橋樑,使用者的大部分工作都是通過Shell完成的。Shell既是一種命令語言,又是一種程式設計語言。作為命令語言,它互動式

MATLAB 2015B 破解版 安裝詳細教程

 將“crack”資料夾下面的破解動態庫檔案“libmwservices.dll”替換 MATLAB 2015b 安裝目錄下面的“R2015b\bin\win64\libmwservices.dll”檔案。 (adsbygoogle = window.adsbygoogle

用 python 暴力破解同事密碼(HTTP)

#-*- coding: utf-8 -*- import urllib,urllib2, cookielib cookie_support= urllib2.HTTPCookieProcessor(cookielib.CookieJar()) opener = urll

Burp Suite滲透操作指南 【暴力破解

安裝 組合 ont 進行 forum iterator num 分享 有效 1.1 Intruder高效暴力破解 其實更喜歡稱Intruder爆破為Fuzzing。Intruder支持多種爆破模式。分別是:單一字典爆破、多字段相同字典爆破、多字典意義對應爆破、聚合式爆破。

使用burp暴力破解無重定向頁面的數字密碼和抓取文字驗證碼

author:criedcat本文簡單寫一些burp暴力破解的文章來提交部落格。技術有限,我就寫一些主要的操作技巧。本來我是做一道CTF題目才和一個老師學得的burp的暴力破解,最終,因為有些題目確實是並非是熟練使用工具就能解決的,有時候,我們要自寫python的指令碼,下載

Burp Suite詳細使用教程-Intruder模組詳解

0×01 介紹 安裝要求: Java 的V1.5 + 安裝( 推薦使用最新的JRE ), 可從這裡免費  http://java.sun.com/j2se/downloads.html  Burp Suite 下載地址:http://portswigger.net/bur

shell 自動檢查SSH暴力破解IP並阻斷攻擊

ssh在5分鐘內嘗試密碼登錄錯誤超過10次的拒絕這個ip#!/bin/bashlocal_ip="192.168.0.4" #定義本地IP不會被拒絕tmp_log=`mktemp`cat /var/log/secure |grep "Failed password for root from" |awk

linux 防止ssh暴力破解密碼

blog color for col logs pan linux define rep 收集 /var/log/secure 裏面的信息,若是某個IP 鏈接次數超過一定次數 ,則把此ip記錄到/etc/hosts.deny裏面 #!/bin/bash #Denyh

【Python】HackBack(獲取暴力破解服務器密碼的IP來源)

split time get main ports import var api pre 1、前言 又在0x00sec上翻到好東東。 https://0x00sec.org/t/python-hackback-updated/882 帖子裏的腳本會得到那些暴力服務器密碼失敗

CentOS7 下一個利用安全日至和防火墻防止暴力破解SHELL腳本

failed 暴力 shel fire led wall 第一次運行 bin 行處理 #!/bin/bash #第一次運行創建記錄文件 -f 1.txt || touch 1.txt while : do #查看日誌中登陸失敗的ip次數超過10次的用戶ip

Linux SSH密碼暴力破解技術及攻擊實戰

put 支持 通用 ash suv 相關 其命令 恢復 ntp 1.1Linux SSH密碼暴力破解技術及攻擊實戰simeon對於Linux操作系統來說,一般通過VNC、Teamviewer和SSH等工具來進行遠程管理,SSH是 Secure Shell的縮寫,由IETF的