用burpsuite破解网站后台密码

burpsuite工具很强大,主要用于WEB渗透方面,这里演示一下简单点的破解网站密码,

需要用到java环境,自己下载后搭建一下吧。

自己在本地搭建了一个留言本网站,通过分析发现了前台页面有“admin”关键字,

所以留言本管理员的帐号应该就是这个admin,所以接下来我们只需爆破密码即可。

先启动burp开启代理,一般默认的就是127.0.0.1,端口是8080,然后在到浏览器里对应设置一下就可以了。

设置好代理后打开留言本管理后台,随便输入一个密码进行抓包,

可以看见burp返回了此网站登录的数据包。

抓到数据包后我们在把数据包发送到intruder选项里,如上图所示。

然后在依次选择导航栏里的intruder选项下的positions,这里就要对数据包进行分析。

可以看见数据包里有些数据默认加上了$$这个符号,其实就是变量的意思,把默认变量都清除一下clear$下。

清除后,我们需要自己来添加你要改变的值,这里我们只需爆破密码,所以只需改变一下password后边的值即可。

选择123456这个值点击add$按钮添加为变量,变成了$123456$,这样burp就会不断的改变这个值去向网站发送该登录数据包。

配置好数据包后我们还要来设置一下字典,这才是整个成功与否的核心。

点击Payloads选项load加载一下你的密码字典。

这里设置一下破解速度线程,默认为5。

最后万事俱备只欠东风了,在点击菜单里intruder下的start attack开始破解。

跑完字典后,我们在来分析,由图可以发现规律,凡是长度为246的都是错误的密码。

只有一行为213,说明这行所对应的就是正确的密码!所以,正确的密码应为admin888。

这种是比较简单点的爆破,希望对新手朋友有用。。。

打赏

1条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

😉😐😡😈🙂😯🙁🙄😛😳😮:mrgreen:😆💡😀👿😥😎😕