使用Burp Suite对登录页面进行字典攻击

已于 2023-06-29 17:44:38 修改
阅读量866 收藏 5
点赞数 2
文章标签: linux 安全
于 2023-05-24 21:34:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaoma920/article/details/130855400
版权
本文详细介绍了如何使用BurpSuite对登录页面进行字典攻击,包括设置代理、拦截请求、加载字典文件和分析结果。通过示例展示了在OWASPBVWA靶场或DVWA靶场上操作的过程,强调了字典攻击在Web应用安全测试中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用Burp Suite

使用Burp Suite对登录页面进行字典攻击

一旦获得了目标应用程序的有效用户名列表,就可以尝试爆破攻击,爆破攻击过程中会尝试密码所有可能的字符组合,直到找到有效的密码。

考虑到大量的字符组合以及客户端和服务器之间的响应时间,因此暴力攻击在Web应用程序中是不可行的。
一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。 在本文中,将使用BurpSuite
Intruder尝试对登录页面进行字典攻击。

将使用WackoPicko admin section login来进行此次攻击实验:

1. 开启OWASP BVWA靶场或者使用phpVstudy搭建dvwa靶场

可参照我该篇作品搭建: https://blog.youkuaiyun.com/xiaoma920/article/details/130915003?spm=1001.2014.3001.5502

2. 在kali linux中开启Burp Suite

这个实验可以使用kali linux中的Burp Suite Community版本来做,也可以使用windows 10系统下的Burp Suite Professional来做。
请添加图片描述

3. 打开Burp Suite设置代理

(1)将burpsuite设置为代理工作模式

请添加图片描述

(2)配置FireFox浏览器使用burpsuite代理

右上角设置滑动到最下方
右上角

最低0.47元/天 解锁文章
BurpSuite字典
08-16
全网最全burpsuite字典
idea 国内插件库_从头开发一个BurpSuite数据收集插件
weixin_39970823的博客
11-21 579
一段时间没写公众号了,最近写了个 burpsuite 数据收集的插件,于是想出一篇从头编写一个 burpsuite 插件的教程。这个插件的目的收集 burpsuite 请求中的数据,如请求中的子域名、文件名、目录名、参数名等,保存到数据库,然后根据出现的次数进行排序,出现次数多的排在前面,从而强化我们的字典。插件效果演示先来看看插件的效果图:该插件会在 burp 上面新建一个标签页,用来...
burpsuite字典破解密码
qq_50003466的博客
11-06 5322
(实验开始前要把网页选项里的服务器设置成代理服务器,我们的burpsuite就相当于一个代理服务器)这点可以百度 首先我们的目标是某大学的教务系统,打开登录界面: 我们先试着输入密码123456(乱猜的),burpsuite也捕捉到了数据包:(这里要注意收到包后然后要放包,你才能在网站上接受到数据,显示下一步) 在positions中选中要破解的pwd: 在payload中引入我们已经创建好的字典,点击start attack,开始攻击! 我们看到返回报文的长度就可以轻松判别密码是最与众不同的那个。(已经
渗透测试常用的注入类字典burpsuite测试可用)
12-27
渗透测试常用的注入类字典burpsuite测试可用)
前端登录和攻击
Darlingmi的博客
02-18 1656
文章目录前端登录介绍Cookie+Session登录验证过程存在的问题Token登录登陆验证过程Token生成方式特点前端攻击方式xss--跨站脚本攻击xss攻击分类CSRF攻击CSRF攻击攻击原理及过程 前端登录介绍 Cookie+Session HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判
Python攻防之弱口令、自定义字典生成及网站防护
Python_sn的博客
09-27 1317
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python网络攻防基础知识、Python多线程、C段扫描和数据库编程,本文将分享Python攻防之自定义字典生成,调用Python的exrex库实现。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击
Liu_Bruce的博客
05-25 2842
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击 Burp Suite 是用于攻击Web应用的集成平台,这个平台集成了许多工具。如何使用它来破解一些网站的密码。首先我们查看一个需要用户名和密码的登录界面(这个实例使用了经典的Web渗透测试平台Pikachu),如下图所示: 首先,在Kali中启动Burp Suite这个工具,如下图所示: Burp Suite在这里的主要作用是在用户使用的浏览器和目标服务器之间充当一个中间人的角色。这样当我们在浏览器中输入数据之后,数据包首先会被提交到B
burpsuite神器
04-18
burpsuite神器
burpsuite字典_小技巧 | Burpsuite爆破含CSRFToken的程序
weixin_39580682的博客
11-28 1533
1. 抓包0x01 开启burpsuite代理,抓取数据包,将请求包转送到Intruder2. 设置0x02 Attack type选择Pitchfork,将passwod和user_token设置攻击位置0x03 在options栏找到Grep - Extract,点击Add,然后点击Refetch response,进行一个请求,即可看到响应报文,直接选取需要提取的字符串,上面的会自...
后台字典爆破------Burp Suite
Azxbc_的博客
08-10 6924
大家好,很高兴又跟大家见面啦,这次我给大家带来一个非常强大的工具----Burp Suite,此工具可以拦截请求并且可以爆破后台拿到权限,是一个非常强大的工具。这里给大家带来一波爆破后台的技术分享,感谢大家的支持! 一、搭建Burp Suite环境 ·这里要特别注意的地方是外面要配置浏览器代理服务器ip ...
【原创】字典攻击教务处(BurpSuite使用
weixin_30876945的博客
03-31 2470
0x00   本例使用Burp Suite字典爆破教务处登录。   使用账户名:yanjiushengdadui   本示例将结合说明Burp Suite的基本使用。 0x01 BurpSuite代理配置 浏览器代理配置。 本例使用...
如何使用burpsuite字典
热门推荐
qq_43943098的博客
07-13 1万+
什么是burpsuite Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 关于burpsuite的安装环境 我相信很多人做ctf都是会有kali系统的,他上面就有这个软件 安装教程:https://www.jia...
python编写字典爆破网站登录|思路
向阳-Y.的博客
10-31 1801
在做渗透时,因为太菜了,不会用网上的爆破工具,自己就即兴写了一个简单的字典爆破。新手小白可以借鉴思路,就当学习了。大佬请绕道!! 如果有好用的爆破工具,欢迎大佬推荐~
网络安全——Burpsuite
weixin_54055099的博客
08-14 2155
Burpsuite使用,对DVWA靶机的暴力破解,sqli-labs第11关
Kali LinuxBurpSuite工具爆破密码详解
最新发布
qq_64868579的博客
08-13 9023
Burpsuite是一个用Java编写的Web应用程序测试工具,它提供了许多功能。Burp Suite是一套通过攻击模拟来进行Web应用程序漏洞扫描、测试、攻击和漏洞修复的著名工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

20210308020 马翔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值