如何用burpsuite注册机批量注册

来源:蜘蛛抓取(WebSpider) 时间:2016-09-04 01:49 标签: burpsuite批量爆破
BurpSuite使用说明_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
BurpSuite使用说明
上传于||暂无简介
阅读已结束,如果下载本文需要使用2下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩91页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢留下脚印,证明你来过。 由于近期工作比较忙,导致博客更新速度奇慢,希望大家不要介意,我会抽时间更新一些文章,希望大家喜欢。
本站文章部分为网络收集整理,若侵犯了您的版权请告知!
成功因为坚持,失败因为放弃!
日志总数:408 篇评论总数:1437 个标签数量:450 个链接总数:38 个建站日期:运行天数:2759最后更新:帐号密码
支持博客发展,爷来打赏你!(微信)标签云集
最新文章随机文章热门文章<a href="/gunbash-bypass-disable_function.html" rel="bookmark" title="PHP 5.x and GNU Bash PHP 5.x and GNU Bash <= 4.3 She...
留言光荣榜最新评论博客访问: 72106
博文数量: 63
博客积分: 0
博客等级: 民兵
技术积分: 1269
注册时间:
IT168企业级官微
微信号:IT168qiye
系统架构师大会
微信号:SACC2013
分类: 网络与安全
什么是 Burp Suite?
Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设
计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示
HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
Burp Suite 能高效率地与单个工具一起工作,例如:
一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单
个程序工作。
在一个工具处理 HTTP 请求和响应时,它可以选择调用其他任意的 Burp 工具。例如,
代理记录的请求可被 Intruder 用来构造一个自定义的自动攻击的准则,也可被 Repeater 用来
手动攻击,也可被 Scanner 用来分析漏洞,或者被 Spider(网络爬虫)用来自动搜索内容。
应用程序可以是“被动地”运行,而不是产生大量的自动请求。Burp Proxy 把所有通过
的请求和响应解析为连接和形式,同时站点地图也相应地更新。由于完全的控制了每一个请
求,你就可以以一种非入侵的方式来探测敏感的应用程序。
当你浏览网页(这取决于定义的目标范围)时,通过自动扫描经过代理的请求就能发现安
IburpExtender& 是用来扩展 Burp Suite 和单个工具的功能。一个工具处理的数据结果,
可以被其他工具随意的使用,并产生相应的结果。
Burp Suite 工具箱
Proxy——是一个拦截 HTTP /S 的代理服务器,作为一个在浏览器和目标应用程序之间的中
间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现 web应用程序的安全
Intruder——是一个定制的高度可配置的工具,对 web 应用程序进行自动化攻击,如:枚举
标识符,收集有用的数据,以及使用 fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来补发单独的 HTTP请求,并分析应用程序响应的工具。
Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可
视化的“差异”。
对于wordpress的安全性,几乎找不到可以利用的漏洞,然而wordpress的后台登陆的验证机制却让某些人有可乘之机。
下面通过一个实例简单介绍如何利用burpsuite爆破wordpress后台密码
要运行burpsuite,首先要安装java环境,推荐使用最 的JRE,下载地址:/j2se/downloads.html
安装完成后可以双击可执行的JAR 文件, 如果不工作, 你可以运行在命令提示符或终端输入:Java –jar BurpLoader.jar (我这里使用的是Burp suite Professional v1.5.0.1版本 )运行后界面如下:
先设置界面字体,需要重启burpsuite后才能生效
配置代理:Proxy-Options-Add
配置抓包选项Proxy-Intercept-Intercept is on
配置我们的浏览器。在大多数浏览器,你只需打开设置, 网络连接, 检查框,& 使代理支持, 然后告诉它使用“127.0.0.1”和端口“8080”(或任何您正在运行的端口,默认 Burp: 8080)。然后设置确定,确定保存更新的设置.我这里使用的是火狐浏览器,配置如下:
现在我们可以再浏览器中输入我们要检查的网站。你会看到 burp 套件工具,proxy 选项卡上会亮起红色,表示它需要你的输入。默认行为是拦截设置为ON,这意味着它捕获的所有发送请求,然后要求用户输入,以决定是否数据包将被转发或丢弃。
打开wordpress登陆页,用户名Admin,密码随便填写一个,确保拦截设置为ON
点登陆后,burpsuite会拦截我们的请求
右键Send to Inruder
选中抓取的内容清除§标记符
因为我们只需要pwd这个变量,标记pwd=§1§
加载字典文件,Payloads-payload options simple list-load
开始爆破,时间的长短取决于你字典文件的大小和电脑的配置,当然,线程是可以修改的。
点击Length,很明显错误的密码Length为3907,正确的密码Length为862
修复方法:更改后台默认用户名,设置复杂的密码,更改后台路径,使用验证码登陆的安全机制
阅读(430) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧!~~
请登录后评论。burp suite 代理配置的问题
[问题点数:100分]
burp suite 代理配置的问题
[问题点数:100分]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
匿名用户不能发表回复!|
每天回帖即可获得10分可用分!小技巧:
你还可以输入10000个字符
(Ctrl+Enter)
请遵守CSDN,不得违反国家法律法规。
转载文章请注明出自“CSDN(www.csdn.net)”。如是商业用途请联系原作者。

我要回帖

更多关于 burpsuite批量爆破 的文章

 

随机推荐