web安全-使用burp suite进行表单暴力破解（含验证码）

最新推荐文章于 2025-09-25 17:30:39 发布

原创

最新推荐文章于 2025-09-25 17:30:39 发布 · 5.4k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#web 安全 #BP #爆破 #爆破验证码

本文旨在介绍如何利用Burp Suite进行Web安全测试，内容包括理解验证码工作原理，掌握Burp Suite的基本操作，针对弱密码进行爆破攻击的步骤，以及弱密码带来的安全风险。实训中，通过模拟对后台管理员账号admin的3位数字密码进行爆破，最终成功获取登录关键信息。

实训目标
1、了解验证码的工作原理；
2、掌握burp suite使用方法；
3、了解弱密码的攻击方式；
4、了解弱密码的危害。

一.题目提示：
后台管理员用户密码为弱密码（3位数字）
管理员账号为:admin

登录界面为：在这里插入图片描述

            				拿到这道题首先要了解验证码的工作原理

二.打开burp suite进行抓包
至于还不会使用burp suite的同学亲自行百度（https://jingyan.baidu.com/article/ca41422f054c881eae99eda0.html）
在这里插入图片描述

由于数据包里面存在Cookie，说明 验证码短时间内不会失效 ，所有只要我们速度快就可以了

三.我们将密码设置为变量，并将字典设置为我们已将做好的字典

在这里插入图片描述

用以下代码生成三位数密码
import itertools as its Num = ‘0123456789’ r = its.product(N

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Coisini、

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【网络安全】利用burp进行爆破（普通爆破+验证码爆破）

你在看屏幕的同时，屏幕也在注视着你

06-08

7057

黑客爆破手法

ssh协议密码暴力破解、基于表单的暴力破解、暴力破解----验证码绕过（on client）、暴力破解—验证码绕过（on server）

dyx0910的博客

05-12

2907

ssh协议密码暴力破解、基于表单的暴力破解、暴力破解----验证码绕过（on client）、暴力破解—验证码绕过（on server）

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

格林家的童话 2021.04.03
没图看锤子

用Burpsuite破解网站密码

飞翔的熊blabla

09-16

3980

新浪微博:@一只谢扬帆工具/原料 burpsuite专业版一个网站方法/步骤 1 切换至proxy选项卡的Option选项下，设置代理地址和端口：127.0.0.1:8080。 2 启动刚刚设置的代理 3

Web暴力破解--前端JS表单加密进行爆破

2301_77300311的博客

04-07

736

从前台到后台是一个质的突破，本文主要对很多web 在登陆的过程中会用 js 对密码进行加密传输，梳理了一下web暴力猜解的技巧。常见的js实现加密的方式有：md5、base64、shal，写了一个简单的demo作为测试。2、分别选择用户名字典和密码字典，在设置密码字典的时候，选择md5加密方式对密码字段进行加密处理。四种爆破方式：单一字典爆破、多字段相同字典爆破、多字典位置对应爆破、聚合式爆破。最常用的应该是在爆破用户名和密码的时候，使用聚合方式枚举了。0x03 Web暴力猜解。方式二：Python脚本。

BurpSuite爆破之验证码识别（详细篇）

热门推荐

Daniel的博客

10-10

6万+

题目是世安杯线上赛的一个题目查看源代码，发现最下面有一行提示密码是五位数字，所以想着爆破，但在burpsuite抓包后发现，每次登录，验证码都会改变，而且验证码不可以为空。这时就要去设置macros，具体设置方法切换到 Burpsuite 的 Project options 选项卡，点击Macros下的add按钮点击add按钮之后，这时候弹出两个窗口，一个是Macro

BurtpSuite之基于表单的暴力破解

m0_65463546的博客

11-04

408

很高兴与大家分享自己的学习心得，刚接触网络安全，可能有些地方的描述不是特别准确，欢迎大家一起讨论、学习！(网安大牛可以忽略本篇了/(ㄒoㄒ)/~~)

使用Burp Suite对登录页面进行字典攻击

qq_69351815的博客

05-27

3266

Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。一旦我们获得了目标应用程序的有效用户名列表，我们就可以尝试爆破攻击，它会尝试所有可能的字符组合，直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间，暴力攻击在Web应用程序中是不可行的。

DVWA系列（一）——使用Burpsuite进行Brute Force（暴力破解）

weixin_45116657的博客

08-21

3941

Brute Force（暴力破解）简介： 暴力破解一般是指穷举法，顾名思义，暴力破解的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。理论上来说，只要字典足够庞大，枚举总是能够成功的！但实际发送的数据并不像想象中的那样简单——“ 每次只向服务器发送用户名和密码字段即可！”，实际情况是每次发送的数据都必须要封装成完整的 HTTP 数据包才能被服务器接收。但是你不可能...

burpsuite爆破密码说明

11-11

使用burpsuite爆破密码具体步骤，包含截图。

burpsuite爆破用户名和密码测试

09-06

使用wamp搭建测试渗透环境并用burpsuite暴破用户名和密码把群共享中的wamp.rar下载下来解压到C盘根目录，然后运行“wampmanager.exe”，点击右下角的图标，在弹出的菜单中选择Mysql->Service-安装服务。

burpsuit破解验证码

qq_41638872的博客

05-21

592

验证码 python脚本

Burpsuite技巧 | 之加密密码爆破、带验证码爆破

hackzkaq的博客

01-14

9717

用Burpsuite爆破密码

xiang_xiang1314的博客

12-16

653

用Burpsuite爆破密码用burpsuite抓包按Ctrl+i将请求包发送到Intruder模块点击“Intruder”标签点击“Positions”子标签点击右侧“clear”按钮选择需要爆破的目标字符串，点击右侧“Add $”按钮点击“Payloads”子标签点击“Load…”按钮，加载密码文本文件点击右上角“start attack”按钮再弹出的新窗口中点击“len...

python网站登录爆破登录_看我如何爆破加密的web登录表单

weixin_39915078的博客

12-17

797

有很多方法来爆破登录表单，你只需要 google 一下就可以在搜索的结果中看到一些通常的做法。在你使用 Burp 的情况下，这些搜索出来的爆破方式将足以满足大多数的形式爆破。但有时候，爆破不会那么简单，你需要编写自己的工具。这可能是因为一些各种原因所致，但通常它归结为通过 HTTP(S)的自定义协议或输入的数据的是一些自定义的加密算法。在这篇文章中，我们将介绍两种编写这些工具的方法：1. 编写你自...

burpsuite——密码爆破

D-R0s1的博客

10-08

1199

使用burpsuite密码爆破，步骤如下，第一步设置代理第二步随便在原界面输入一个密码第三步抓包第四步抓到包以后准备改包第五步第六步第七步第八步第九步第十步出结果 ...

掌握Burpsuite进行Web安全渗透测试实战指南

**描述**："本书是一本实战指南，旨在通过实际操作来精通使用Burp Suite进行Web应用安全测试。书中详细介绍了Burp Suite这一Java平台工具的使用方法，帮助读者解决Web应用安全测试中遇到的挑战，包括识别和探索Web...