Burpsuite教程与技巧之HTTP brute暴力破解
常规的对username/passwprd进行payload测试,我想大家应该没有什么问题,但对于Authorization: Basic dXNlcm5hbWU6cGFzc3dmQ=这样的问题,很多朋友疑惑了.
之前,我记得我介绍过burpsuite的intruder功能(
),想必很多人没什么印象,在此,以HTTP brute重提intruder功能.
以下面案例进行说明(只作演示之用,具体以自己的目标为准)
Auth=dXNlcjpwYXNzd29yZA==处,也就是我们的关键位置.
那么具体该如何做呢?大致操作过程如下:
1.解密base64字符串
2.生成测试用的payload
3.利用payload进行测试
1.解密验证用的base64字符串
解密后的字符串为:
Auth=user:password
问题来了,针对user:password这种形式的字符串,我们该如何设置payload呢?
想必很多人在此处了费尽心思。为了解决这个问题,接下来请看第二部分。
2.生成测试用的payload
对于这种格式,无法利用burpsuite顺利的完成测试,那个就需要丰富对应的payload了.
我的做法就是,利用burpsuite生成我要的payload文本.
Auth=§user§§:§§password§
设置3处payloads,
1 ------ §user§
2 ------ §:§
3 ------ §password§
然后根据intruder自带的battering ram/pitchfork/cluster bomb生成payloads(根据自己的需求生成)
我在此处选择以cluster bomb为例,利用intruder生成需要的payloads,然后保存到文本文件中.
3.利用payload进行测试
测试的时候,我们选用sniper,我们只需一个payload变量
若有不足之处,欢迎指正.
如对本文有疑问,
点击进行留言回复!!
相关文章:
-
-
网络刺客2使用指南
网络刺客2使用指南 “天行”推出网络刺客2已有一年,想当初此软件因其强大的功能被国内“黑”界推为惊世之作。我在得到它后,却有近半年时间在研究、寻找...
[阅读全文]
-
冰河”启示录
冰河”启示录 作者: 陈经韬 前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)...
[阅读全文]
-
-
-
火凤凰2.4使用教程
今次给大家推荐的是阿风哥的作品:无赖小子。(way).说起来它普及的不广,但是面孔生疏的马儿更加隐蔽。不是众杀毒软件的众矢之的。好像不太容易被查杀。而且作者够仗...
[阅读全文]
-
-
火凤凰2.0使用教程
火凤凰是国产木马里最先使用反弹端口的木马,其避开防火墙的能力极其出色,DELPHI编写,功能较多但是不太好用,而且没有配置服务端的改变端口功能,相对而言比较危险...
[阅读全文]
-
-
-
网友评论