zoukankan      html  css  js  c++  java
  • Burpsuite教程与技巧之HTTP brute暴力破解

    Burpsuite教程与技巧之HTTP brute暴力破解

     @ WEB安全 2013-02-28 共 19052 人围观,发现 32 个不明物体Favorite收藏该文

    感谢Gall投递

    常规的对username/passwprd进行payload测试,我想大家应该没有什么问题,但对于Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=这样的问题,很多朋友疑惑了.

    之前,我记得我介绍过burpsuite的intruder功能(BurpSuite教程与技巧之SQL Injection),想必很多人没什么印象,在此,以HTTP brute重提intruder功能.

    以下面案例进行说明(只作演示之用,具体以自己的目标为准)

    Auth=dXNlcjpwYXNzd29yZA==处,也就是我们的关键位置.

    那么具体该如何做呢?大致操作过程如下:

    1.解密base64字符串2.生成测试用的payload
    3.利用payload进行测试

    1.解密验证用的base64字符串

    解密后的字符串为:

    Auth=user:password

    问题来了,针对user:password这种形式的字符串,我们该如何设置payload呢?

    想必很多人在此处了费尽心思。为了解决这个问题,接下来请看第二部分。

    2.生成测试用的payload

    对于这种格式,无法利用burpsuite顺利的完成测试,那个就需要丰富对应的payload了.

    我的做法就是,利用burpsuite生成我要的payload文本.

    Authuser§§:§§password§

    设置3处payloads,

    1------§user§2------§:§3------§password§

    然后根据intruder自带的battering ram/pitchfork/cluster bomb生成payloads(根据自己的需求生成)

    我在此处选择以cluster bomb为例,利用intruder生成需要的payloads,然后保存到文本文件中.

    3.利用payload进行测试

    测试的时候,我们选用sniper,我们只需一个payload变量

    若有不足之处,欢迎指正.

    如文中未特别声明转载请注明出自:FreebuF.COM

  • 相关阅读:
    $Noip2018/Luogu5022$ 旅行
    $Noip2018/Luogu5020$ 货币系统 $dp$
    $Noip2018/Luogu5021$ 赛道修建 二分+树形
    $Noip2018/Luogu5019/Luogu1969$ 铺设道路
    $Poj1220/AcWing124 Number Base Convertion$ 进制转换+高精除
    $Poj1050 To the Max$
    $Poj1723/AcWing123 Soldiers$ 排序
    luogu质数距离
    模板线性筛
    CERC2016 bfs 最大生瓶颈边 lca
  • 原文地址:https://www.cnblogs.com/qmfsun/p/3721136.html
Copyright © 2011-2022 走看看