关于burp suite工具的弱口令爆破

最新推荐文章于 2025-07-28 15:46:09 发布

sworddancing

最新推荐文章于 2025-07-28 15:46:09 发布

阅读量6.5k

点赞数

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/weixin_42419856/article/details/81104521

本文介绍了一种使用burpsuite工具对明文密码进行爆破的方法。文章首先强调并非所有弱口令都能被爆破，只有明文密码才能利用burpsuite进行攻击。通过详细步骤说明了如何设置burpsuite的intruder模块来实施密码爆破。

并非所有的弱口令都可以爆破，只有那些明文密码才可以利用burp suite工具进行侵入爆破，首先将数据包拦截，查看其密码是否为明文，如果是明文，才可进行一下步骤，如果不是明文密码，本文则无法实现密码的1爆破。

在proxy下action选项卡选择sent to intruder（将拦截到的数据包传送到intruder工具下），打开position，先clear清空一下默认所选中的爆破对象，然后选中密码部分add之后来到payload选项卡下

废选择number from .....to.......

即可进行密码的解析。

话不多说直接上截图：

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sworddancing

关注关注

0
点赞
踩
10

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

利用burp suite进行弱口令爆破（攻防世界web weak_auth）

Kni9hT's Blog

02-28

5459

终于刷到这种题了，做二进制的时候用过python爆破… 用burp suite跑字典还是第一次。那就从这个简单的字典爆破开始吧。利用工具： burp suite Blasting_dictionary-mastergithub字典爆破环境: kali linux 正题开始题目叫做weak_auth，翻译过来就是弱口令爆破打开是一个登陆界面，username和password都使用a...

利用burpsuite爆破弱口令密码

2301_80453793的博客

05-27

2098

这时我们右击空白的地方，选择快捷键为ctrl+i的这一行，然后点击intruder。点击clear先清除§§符号，再在选择user=和pass=后面的东西add加上§§符号。这时我们右击空白的地方，选择快捷键为ctrl+i的这一行，然后点击intruder。点击clear先清除§§符号，再在选择pass=后面的东西add加上§§符号。先打开burpsuite的抓包功能，然后在网站中随便输入一个账号和密码，点击登录。先打开burpsuite的抓包功能，然后在网站中随便输入一个密码，点击登录。

1 条评论您还未登录，请先登录后发表或查看评论

介绍6款密码暴力破解工具_密码撞库软件

最新发布

jasonOI的博客

07-28

923

暴力破解就是通过不断穷举可能的密码，直至密码验证成功，暴力破解分为密码爆破和密码喷洒，密码爆破就是不断的去尝试不同的密码，密码喷洒就是通过已知密码不断去尝试账号。下面介绍6款常见的暴力破解工具。01hydraHydra（九头蛇）是THC组织开发的，是一款非常流行的密码破解工具，可以对多种服务的账号和密码进行爆破，包括 Web 登录、数据库、 SSH、 FTP 等服务，支持 Linux、Windows、 Mac 平台安装，其中 Kali Linux中自带 Hydra。

利用burpsuite爆破有验证码的弱口令

2301_80453793的博客

05-28

2220

（2）、在此面输入admin，密码和验证码随便输入一个，点击登入之前启用burpsuite的抓包功能，然后送入到intruder模块。首先在payload set选择2，在payload type上选择Extension-generated，然后点击select generator，在弹出的窗口中选择xp_CAPTCHA，最后点击OK。在www文件夹下最好在创建一个文件夹，名字要一个英文名字。光标在第14行时，单击回车，然后输入xiapao:,然后空格再输入复制的图像地址，最后再单击回车。

利用BurpSuite进行弱口令爆破

m0_62791201的博客

08-26

2017

弱口令指的是仅包含简单数字和字母的口令，例如“123456”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。攻击者利用此漏洞可直接进入应用系统或者管理系统，从而进行系统、网页、数据的篡改与删除，非法获取系统、用户的数据，甚至可能导致服务器沦陷。网站管理、运营人员由于安全意识不足，为了方便、避免忘记密码等，使用了非常容易记住的密码，或者是直接采用了系统的默认密码等。返回proxy模块报文直接修改请求包正确参数并点击forward，可以看到浏览器界面登录成功。

实验5 弱口令暴力破解(利用burpsuite暴力破解弱口令)

Sum

06-02

8205

实验5 弱口令暴力破解(利用burpsuite暴力破解弱口令) 预备知识 BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士军刀。实验目的利用Burp Suite

记一次简单的burpsuite弱口令爆破实验

ch4nge

10-28

2509

弱口令暴力破解实验作者：ch4nge ps：去年做的这个演示实验，从尘封已久的优盘里扣了出来，希望对刚入门的小白有所帮助（我也是小白）大佬请绕路~~ 实验环境：虚拟机Windows Server2008*2台、KALI 2018.2 使用工具：burpsuite、Firefox浏览器、字典生成器 cms：链接提取码:q70t 请搭配视频观看下载镜像文件 1.下载windows server2008镜像 MSDN 链接 ed2k://|file|cn_windows_server_2008_r2_hp

burpsuite弱口令爆破

09-03

- *2* [基于BurpSuite的弱口令爆破](https://blog.youkuaiyun.com/m0_51345235/article/details/131174757)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

Burp Suite 弱口令爆破详细教程

2402_84408069的博客

05-11

2836

本文详细介绍了如何使用BurpSuite进行弱口令爆破测试，包括拦截登录请求、配置攻击位置、设置Payloads、开始攻击及分析结果等步骤。文章强调了合法授权的重要性，并提供了安全建议和注意事项，确保测试过程符合道德规范和法律要求。通过本文，读者可以学习到如何在授权范围内进行安全测试，提升系统安全性，同时避免法律风险。

弱口令爆破

m0_65853019的博客

04-14

1199

弱口令是指一些简单易猜的密码，可通过社工方式和一些爆破工具进行破解，以下介绍一款爆破工具的用法。burpsuite简称BP，一款可以利用字典破解账户密码的工具。

基于BurpSuite的弱口令爆破

xiaoheizi的博客

06-12

1404

用户名错误就要重新猜用户名，而我们使用的是pikachu靶场，是不是就可以猜测pikachu就是用户名，然后再次使用工具爆破。因为很多网站的管理员用户名都是admin，所以我们先使用admin来猜解密码，点击login提示用户名或密码错误。字典跑完后点击按照Length排序，发现这里有几个值明显不一样，说明有可能爆破到了正确的结果，查看密码是123456，输入网页测试发现成功登录。被§§符号包裹的都是变量，我们只针对密码进行爆破，先点击右边的cleanr清除§§符号，然后点选中密码，点击add添加§§。

burpsuite爆破密码说明

11-11

使用burpsuite爆破密码具体步骤，包含截图。

CTF burpsuite弱口令爆破四个模式

东隅的博客

01-01

844

一 Sniper（狙击手模式）狙击手模式使用一组payload集合，它一次只使用一个payload位置，假设你标记了两个位置“A”和“B”，payload值为“1”和“2”，那么它攻击会形成以下组合（除原始数据外）： attack NO. location A location B 1 1 no replace 2 2 no replace 3 no replace 1 4 no replace 2 二Battering

网络安全CTF系列培训教程之Web篇-burpsuite爆破弱密码

ctfayang的博客

03-11

3513

本文介绍了Burpsuite的设置以及如何爆破攻击web 密码。

弱口令暴力破解实验

weixin_45817996的博客

05-07

1684

工具：burpsuite_pro_v2.0beta 破解版下载地址：百度网盘链接：https://pan.baidu.com/s/1oCRykg1X1TWY-KdwJ1sNQg 提取码：3jg6 环境：跳转提示题目：步骤：1. 打开 Burp 的拦截模式（proxy 工具栏下——intercept is on），同时浏览器打开代理设置，在火狐浏览器的界面随便输入密码，在burp中可以看到拦截的数据包。 2. 为了爆破密码，我们需要使用它的 Intruder 模块（攻...

弱口令之暴力破解

记录开发和安全学习过程中的点点滴滴

04-22

2271

本来想在打靶场的同时结合实战案例放在一起进行分享,结果发现篇幅太长,也不利于看,就放在下一篇中结合着一起来看,当然我也会在下面的靶场中,写出具体的一些实战遇到的解释,为什么要着重来写这个,能用弱口令进入的页面是获得权限以及获取其他漏洞的最好方式了,实在没办法的话,采取其他战术.弱口令是指容易被猜测或破解的密码，而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解的密码。

form标签的action之前加密_口令爆破之突破前端JS加密

weixin_39782573的博客

11-20

372

0x00 前言近期安全测试时发现一个系统前台使用了SSO，但是在比较隐蔽API中发现了后台的登录接口，该接口未使用SSO，同时没有图形验证码等校验，通过分析最终爆破进入后台。0x01 确认攻击途径通过信息搜集找到后台登录URL，由于URL比较敏感，这里以 admin/login替代，尝试登录发现没有图形验证码等校验通过BurpSuite抓包发现密码字段被加密了根据回显不同，可进行口令爆破...

利用Burpsuite密码爆破

不忘初心，护天下安全！

11-29

3081

参考：https://blog.youkuaiyun.com/weixin_38948797/article/details/79111566 https://blog.youkuaiyun.com/huilan_same/article/details/64124895 https://blog.youkuaiyun.com/huilan_same/article/details/67671531?utm_source=gol...

BP使用和弱口令漏洞

主要为C++知识点、Linux知识点，计算机组成结构笔记。

04-20

1682

完成后会弹出结果，对比每一行的Length，和其他行不一样的一般是破解成功的，且状态码为200。右键选择发送到Intruder，在Positions选项中，设置要暴力破解的变量，这里是登录的密码。比如图片验证码，具体绕过原理是，使用BP拦截包后，单独发送验证码，获得正确的验证码后，再暴力破解密码。要爆破一台win10的账号登录和密码，拿我这台机器举例，需要知道账号名，比如abc。我们不知道密码，验证码也不知道，因为是在服务端验证，因此我们需要获得正确的验证码。也可以观察到响应的包的具体内容。