用Burpsuite破解网站密码
burpsuite专业版
一个网站
方法/步骤
- 1
切换至proxy选项卡的Option选项下,设置代理地址和端口:127.0.0.1:8080。
- 2
启动刚刚设置的代理
- 3
打开Internet Properties,依次选择:Connections ->LAN Settings ->Proxy Server.分别输入127.0.0.1和8080。如图所示。
- 4
找一个目标网址为
- 5
点击“登录”时,出现的是一个弹出窗口,为了找到真正的登录网址,我们点击“免费注册”。
- 6
点击旁边的“登录”,随便输入一个账号,密码输入“123456”。(先不点击登录按钮)
- 7
选择Proxy选项卡下的“Intercept”选项,点击“Intercept is off”按钮,按钮会变成“Intercept is on”
- 8
打开前面的登陆页面,点击“登录”按钮。
- 9
此时我们会在Burpsuite下看见刚刚截取到的数据包。可以看到我们刚刚输入的用户名和关键字。
- 10
在文字区域内单击右键,选择“Send to Intrder”
- 11
切换到Intruder选项卡下,选择“Target”,设置主机地址以及端口号,端口号默认是80,假如网站使用的是HTTPS协议的话就勾选下方的“Use HTTPS”切换到443端口(SSL)
- 12
切换到Positions选项,点击右边的“Clear $”按钮,清除所有默认参数。
- 13
鼠标选中username后边的文字(我们输入的用户名),点击“Add $”按钮。
- 14
切换到“Payloads”选项,选择要使用的“Payload type”,这里我们选择“Simple list”。
在下方的“Add from list”中选择一种密码,这里我们选择“8 letter words”。
切换到“Options”选项卡下,设置线程数和其他参数,如下图所示。
点击菜单栏的“Intruder”,选择“Start attack”
扫描到差不多的时候,我们按Length(长度)大小排序。这是我们会看到几种不同的数据包,许多一样的,还有几个数据包很大的基本就是正确的了。
选择其中一个较小的数据包,点击下方的“Response”,会看见有提示“用户名或密码错”
同理,我们再选择一个较大的数据包,这是,我们会看见下方并没有提示“用户名或密码错误”,
当我再重新打开登录页面时发现已经进不去了
初步猜测应该是IP被网站封了,所以我们换一个IP登录试试。我用手机流量开热点链接电脑,这时再去打开网页时果然显示出来了。
输入我们刚刚获得的用户名(这里以merchant为例)以及密码123456。然后点击登录。
成功登录
用Burpsuite破解网站密码的更多相关文章
- 如何利用wireshark破解网站密码
在有进行破解意愿的想法诞生之前,博主得先来给各位泼一盆凉水,本文介绍的方法破解http的轻而易举,而对于https的就算了.因为Wireshark 没有session key ,不能解密SSL数据流. ...
- 使用Burpsuite破解Webshell密码
Burp Suite 是用于攻击web 应用程序的集成平台.它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程.所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证 ...
- burpsuite破解网页密码
1.暴力破解网页登录 http://jingyan.baidu.com/article/200957619c8739cb0721b4ff.html https://zhuanlan.zhihu.com ...
- kali系统破解WPA密码实战
上次发布过一篇在OSX系统破解WIFI密码的教程, 这次发布一篇使用kali破解wifi的教程 WEP和WPA/PSK的区别 WPA/PSK的加密方式相对于WEP的加密方式更加安全,WEP是一种老式的 ...
- web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。
本篇以我自己的网站为例来通俗易懂的讲述网站的常见漏洞,如何防止网站被入侵,如何让网站更安全. 要想足够安全,首先得知道其中的道理. 本文例子通俗易懂,主要讲述了 各种漏洞 的原理及防护,相比网上其它的 ...
- [转帖]web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。
web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全. https://www.cnblogs.com/1996V/p/7458377.html 感谢原作者写的内容 安全 ...
- 使用John the ripper工具来尝试破解Linux密码
这篇文章主要介绍了使用John the ripper工具来尝试破解Linux密码的方法,这款工具可能主要被用来破解系统用户的密码以获得文件操作权限,需要的朋友可以参考下 John有别于Hdra之类的工 ...
- labview密码忘记怎么办,如何破解labview密码,vi密码md5码破解重置
labview密码忘记了或者需要破解labview密码,可以找到vi文件的md5码,把里面的md5码拿到网站http://cmd5.la解密就可以了. 把vi文件的32位md5码放到网站cmd5.la ...
- 手把手教你破解文件密码、wifi密码、网页密码
手把手教你破解文件密码.wifi密码.网页密码 1.破解文件密码: 有时候我们在网上下载一个压缩包后,必须要关注或者支付一定费用才给你解压密码,实属比较恶心.在这里手把手叫你实现破解文件解压密码. 1 ...
随机推荐
- web兼容学习分析笔记--块级、内联、内联块级元素
一.块级.内联.内联块级元素 (1)块级元素:block **独占一行 **可设置width,height,margin,padding **内部可包含块级或内联元素 (3)内联(行内)元素:inli ...
- java 分页功能
1.分页工具类 package com.bw.shop.util; import java.util.List; import com.sun.org.apache.regexp.internal.r ...
- tomcat启动报错: org.apache.catalina.deploy.WebXml addFilter
解决方法为:在Tomacat7的context.xml文件里的<Context>中加上<Loader delegate="true" />
- Spring在非web应用中关闭IoC容器 (registerShutdownHook)
在基于web的ApplicationContext实现中,已有相应的实现来处理关闭web应用时恰当地关闭Spring IoC容器.但,如果你正在一个非web应用的环境下使用Spring的IoC容器,如 ...
- 关于我们经常用到的form表单提交
工作中遇到了太多太多的表单提交问题,曾经学过一个HTML的表单提交给 另外一个HTML页面,对于后台怎么获取有点想不起来了. 今天便做了几个实验,提交订单到后台,来掩饰后台如何接受表单内容: 实验 一 ...
- 【20161203-20161208】清华集训2016滚粗记&&酱油记&&游记
先挖坑(这个blog怎么变成游记专用了--) 已更完 #include <cstdio> using namespace std; int main(){ puts("转载请注明 ...
- BZOJ3670 [Noi2014]动物园
本文版权归ljh2000和博客园共有,欢迎转载,但须保留此声明,并给出原文链接,谢谢合作. 本文作者:ljh2000 作者博客:http://www.cnblogs.com/ljh2000-jump/ ...
- form表单序列化后的数据转json对象
function formToJson(){ var data = $("#form").serialize(); data= decodeURIComponent(data,tr ...
- Hibernate--------八大类HQL查询集合
Hibernate的 八大类HQL查询集合 Hibernate的八大类HQL查询集合: 一:属性查询(SimplePropertyQuery) 1,单一属性查询 *返回结果集属性列表,元素类型和实 ...
- Java数据结构——平衡二叉树的平衡因子(转自牛客网)
若向平衡二叉树中插入一个新结点后破坏了平衡二叉树的平衡性.首先要找出插入新结点后失去平衡的最小子树根结点的指针.然后再调整这个子树中有关结点之间的链接关系,使之成为新的平衡子树.当失去平衡的最小子树被 ...