【Burp入门第十篇】使用BurpSuite进行用户名、密码爆破+实战案例

已于 2024-05-24 14:39:28 修改
阅读量5.7k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: BurpSuite 渗透工具
于 2024-04-06 15:52:55 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137430342
本文介绍了Burp Suite作为渗透测试工具在Web安全中的应用,详细讲解了如何进行用户名、密码的爆破操作,并提供双重爆破的方法。通过实例和实战案例,如BUUCTF Brute1、攻防世界ics-06以及DVWA的Brute Force挑战,帮助读者掌握这一漏洞挖掘利器。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

1、用户名爆破

123456、123等通常为弱口令,在某些环境下若登录框存在提示(如请输入4位工号),故在登录框可爆破用户名;若不存在提示,可添加用户名字典进行爆破。

2、密码爆破

在已知用户名(如ice)的情况下,可通过添加密码字典进行爆破。

3、用户名+密码双重爆破。

设置两个payload集,其一添加用户名字典,其二添加密码字典。

Burp爆破实战案例:

【优快云秋说】BurpSuite爆破实战解题详析之BUUCTF Brute1

了解本专栏 订阅专栏 解锁全文 超级会员免费看
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。希望您喜欢~
burpsuite——身份验证
qq_61768489的博客
12-26 1404
这题的情况是: 错误登录只允许三次,否则要等待1分钟继续登录,可利用的点是我们可以正常登录自己的用户来重置次数。然后这里的通过响应时间来进行区分,经过测试,如果用户名正确,则响应时间根据你设置密码的长度增加而增加。就是个简单的cookie 存储密码的md5 ,主要post传入的密码也需要爆破,一一对应。所以在爆破carlos的密码时,中间要穿插正确的账号密码,准备这样的字典进行爆破。判断是否是正确用户,每个账户需要多试,如果是正确用户,试多了会有某种错误提示。就是所谓的暴力破解,用户名密码的字典都给了。
【网络安全】一文教你如何用BurpSuite进行密码爆破实例演示,小白也能轻松学会!
最新发布
qq_41314882的博客
11-19 553
本文介绍使用Burpsuite工具进行密码暴力破解的方法。包含三种爆破模式:简单密码爆破通过拦截数据包,标记密码字段并使用字典进行破解;高级密码爆破需处理动态token值,采用Pitchfork模式同步迭代密码与token;集束炸弹模式适用于未知用户名密码的情况,通过配置宏实现多字典组合爆破。教程详细说明了代理设置、数据包拦截、字段标记、字典加载等关键步骤,并解释了不同攻击类型的适用场景,为渗透测试初学者提供了实用的密码暴力破解指南。
BrupSuite密码爆破
来日可期的博客
08-06 7834
比如:position中A处有a字典,B处有b字典,则两个字典将会循环搭配组合进行攻击处理,这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。:首先访问有user_token的页面,bp拦截到当前页面的连接,使用宏配置,正则表达过滤user_token,使用输入账号密码拦截,将拦截的内容先放到重发器里面测试,user_token是否会变,如果发生改变表明之前宏设置成功。多个参数同时遍历,只是一个参数选择一个字典,不重复选择字典,(多个字典中,字典短的遍历完,其余的字典停止遍历)。
《Web安全深度剖析》读书笔记
kevinhanser
08-13 2523
本文详细记录 《Web安全深度剖析》 的学习过程,资料为 《Web安全深度剖析》 基础篇 状态码 第一位数字定义嘞 响应的类别,且只有一下5种 1xx: 信息提示,表示请求已被成功接收,继续处理。其范围是 100 ~ 101 2xx:成功,服务器成功地处理了请求。其范围是 200 ~ 206 3xx: 重定向。范围是 300 ~ 305 4xx:客户端错误状态码。范...
Brup Suite爆破密码
weixin_44610728的博客
06-29 659
爆破攻击得到密码 1.http://123.206.87.240:8002/baopo/用火狐浏览器或者谷歌浏览器打开此网址,可得下图: 2.设置浏览器的代理服务器,以火狐为例,设置—>选项—>网络设置—>手动代理配置。 3.然后打开Brup Suite,在浏览器上刷新要爆破攻击的网页,然后点击Brup Suite里面的Proxy—>Intercept is on(若已经是on,点击变成off再点击即可)并随便输入密码点击查看。这个时候,bp上就出现了我们输入的密码。 这就是
1-10 Burpsuite 暴力破解用户密码
山兔的博客
11-29 2160
暴力破解用户密码 针对用户名密码的破解,可以有以下方式: 1、已知用户名,未知密码。 针对已知的用户名,对未知密码进行破解 2、用户名密码都未知。 用户名密码都不能指定,有两个变量 3、已知密码,未知用户名。 针对已知的密码,对未知用户名进行破解 1,3只有一个变量 可以利用Burpsuite Intruder模块进行暴力破解。 1、已知用户名,未知密码 打开Burpsuite 启动DVWA靶场 输入用户名:admin,密码:password,就可以进来了。 安全级别选择Low,漏洞类型选择Bru
burpsuite爆破用户名密码测试
09-06
使用wamp搭建测试渗透环境并用burpsuite暴破用户名密码 把群共享中的wamp.rar下载下来解压到C盘根目录,然后运行“wampmanager.exe”,点击右下角的图标,在弹出的菜单中选择Mysql->Service-安装服务。
BurpSuite 爆破后台帐户系统密码
JineD的博客
04-18 5802
爆破密码不是随机的,需要让BurpSuite跑字典,字典的内容就是需要爆破密码使用题目给用的字典,若没有字典可以尝试自己手动使用txt纯文本录入或上网搜索资源。成功抓包后,即可开始爆破密码,首先需要知道题目用户名,通常来讲用户名为admin,题目中的提示也是admin,所以将username设置为定值为admin。打开浏览器,进入设置页面,在代理设置中设置IP地址为127.0.0.1,端口号为8080。添加符号注意,在值前后都加上符号是定值,只在前面加符号是变量,爆破针对变量!
Burp Suite——账号、密码爆破
2301_78006725的博客
03-09 1340
burp上拦截登录请求,然后点击登录。选择需要爆破的系统,随便输入账号密码。登录之后返回burp查看拦截请求信息。开启代理(浏览器和burp需一致)
burpsuite爆破密码说明
11-11
使用burpsuite爆破密码具体步骤,包含截图。
[网络安全自学篇] 六十九.宏安全之入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
04-21 9809
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了利用永恒之蓝漏洞加载WannaCry勒索病毒,实现对Win7文件加密的过程,并讲解WannaCry勒索病毒的原理。这篇文章将讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,本文包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。基础性文章,希望对您有所帮助。
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
热门推荐
杨秀璋的专栏
01-09 2万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,而且用户注册该网站时需要绕过关卡并获取邀请码,涉及审查元素、base64解密、发送post请求等操作,挺有意思的。这是一篇基础性文章,将讲述注册过程、遇到的难点及入门案例,希望对您有所帮助。
Burpsuite暴破账号密码
qq_43176656的博客
08-14 1000
burp suite的使用——爆破帐号密码
【简单工具】BurpSuite密码爆破(暴力破解DVWA high级别下的用户名密码——带token验证)
Fighting_hawk的博客
01-30 9328
1. 了解DVWA靶场的安全级别设置; 2. 掌握请求内容含user_token的密码爆破
Burpsuite破解用户名密码
m0_73792568的博客
02-03 3914
Burpsuite破解用户名密码
利用burpsutie爆破账号密码
mulincong的博客
05-31 1874
网站密码爆破
burpsuite爆破密码
qq_32445755的博客
05-13 3532
burp爆破的前提条件是该网站账号密码没有进行加密而是明文,且验证码可以重复使用,如下图数据包中直接显示账号与密码且验证码不需要重复提交(此处需要自己使用burp进行测试) 1.进入burp,监听浏览器 2.打开网站输入账号,密码,验证码点击登录抓取数据包,将数据包发送到intruder中 发现所有返回长度都一样,这种情况下需要再在option 中的grep-match中加入返回包中不同的内容 爆破成功 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值