0


【burpsuite:爆破网址的后台】

一、使用工具:burpsuite(配好了jdk17有需要的自取链接:https://pan.baidu.com/s/1uxpnHA93b8B5qr5s2Fj0GQ 提取码:ttwh )

二、实例:

爆破网站http://43.138.211.45:82

三、burpsuite爆破步骤

1、打开虚拟机中的burpsuite,在拦截关闭的前提下打开burpsuite自带的浏览器。在浏览器中搜索http://43.138.211.45:82

2、不利用burpsuite,尝试admin找到http://43.138.211.45:82的后台登录页面。进入后,输入账户密码。此时分为密码搜索和账号搜索

3、先进行admin作为账户尝试:

①随意输入一个密码,打开拦截,重新刷新页面,将拦截的内容转到intruder,现将高亮的变量clear,然后将密码添加为变量。

②进入payloads,先默认选项,然后在load里加入密码本,点击“stack”进行攻击。

③对状态码和字节长度进行筛选,选出不同的账号密码,返回浏览器,并将拦截关闭。找到账号密码,进入管理员页面。完成爆破。

4、随机账户密码尝试:

①随意输入一个账号密码,打开拦截,重新刷新页面,将拦截的内容转到intruder,现将高亮的变量clear,然后将密码添加为变量(同步骤3)。

②选择boom(步骤3是选择Sniper),进入payloads,先进入payloads1,然后在load里加入账号本;再进入payload2,在load里面加入密码本,点击“stack”进行攻击,等待攻击结束,完成爆破。

四、爆破结果:成功获取账号密码,进入到了网站的后台。

标签: web安全

本文转载自: https://blog.csdn.net/m0_71635484/article/details/128758707
版权归原作者 fly哥 所有, 如有侵权,请联系我们删除。

“【burpsuite:爆破网址的后台】”的评论:

还没有评论