超级会员免费看
网络渗透测试中的暴力破解技术
1. 暴力破解目录和文件位置
在对自定义Web应用程序或大型电子商务系统进行攻击时,我们往往不清楚Web服务器上所有可访问的文件。通常会使用爬虫工具(如Burp Suite中的爬虫)来尽可能多地发现Web应用程序的内容,但为了获取配置文件、遗留开发文件、调试脚本等敏感信息,我们需要使用暴力破解工具来查找常见的文件名和目录。
1.1 获取词表
我们可以使用常见暴力破解工具的词表,这里以SVNDigger的词表为例,操作步骤如下:
cd ~/Downloads
wget https://www.netsparker.com/s/research/SVNDigger.zip
unzip SVNDigger.zip
解压后, all.txt 文件会出现在 Downloads 目录中。
1.2 编写Python脚本
我们创建一个名为 bruter.py 的Python脚本,代码如下:
import queue
import requests
import threading
import sys
AGENT = "Mozilla/5.0 (X11; Linux x86_64; rv:19.0) Gecko/20100101 Firefox/19.0"
EXTENSIONS = ['.php', '.bak', '.orig', '
订阅专栏 解锁全文
扫一扫
2295
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
