唱响幸福
bp字典爆破——攻防世界weak_auth
使⽤burpsuite跑字典——weak_auth阑尾炎手术后吃什么好
1. 来到这个题⽬界⾯,我们在这⾥先随便输⼊⼀个urname和password然后点击登录:
当我随便输⼊⼀个urname和password之后,弹出弹窗提⽰“plea login as admin”。密码我们暂时不知道,不过看这个弹窗的意思urname应该是填admin了。不是因为寂寞才想你歌词
2. 当得到这个⽤户名之后,我们就可以使⽤bp这个软件来进⾏字典的爆破了。⾸先第⼀步就是 抓包
我们要抓的包:当输⼊⽤户名和密码之后,点击登录之后的包,在你抓到的包⾥应有你输⼊的账号和密码,如下图我抓到的包。
(⽽不是刚进来这个页⾯,连登录都没有点,就在那⼉抓包,那样你抓到的包⾥是不会有urname和password的)。
3. 进⾏字典爆破的第⼆步,就是右键然后单击“Send to Intruder”这个选项
4. 然后来到“Intruder”下的“Positions”这个界⾯
可以看到我们刚才发送的包已经到了这⾥。然后在这⾥,我们也要执⾏两个操作:1. 先点击上图中的“clear”选项。
英文电影海报点击之后,这⾥⾯的内容会变成这个样⼦:
如果你够细⼼,你会发现:原本最后⼀⾏的内容 “urname=§admin§&password=§ddf§”变成了
“urname=admin&password=ddf“。注意到区别了吗?§ § 消失了。没错,因为 § §
这个符号框起来的部分表⽰的就是我们要⽤字典尝试进⾏爆破的部分,现在我们点了”clear“,表明我们清除掉了所有要进⾏爆破的参数,⽽urname这个参数的值我们已经知道是admin了,⾃然不⽤进⾏爆破。那么第⼆个操作,你应该已
经猜到了,就是把password后⾯对应的值加上**§ §这个符号,因为我们是要对password**这个参数的值进⾏爆破。
———当然你也可以⼿动删掉 admin 两边的 § § 这个符号;或是⼿动添加 § § 这个符号,我这⾥说了这么多,只是为了让你明⽩clear的含义。
2. 第⼆步,选中 password 后⾯的值点击”add“选项。
一粒种子的故事
免费wlan当我们选中,password后⾯的值并点击“add”选项之后,可以看到password的值的两边就多了**§ §这个符号。(这个选项的意思是:添加我们想要进⾏爆破的值,你也可以⼿动输⼊§ §**这个符号,效果⼀样)因数的特征
5. 上⾯这些操作做完之后,就可以选择“Intruder”下的“Payloads”选项,来到“Payloads”这个界⾯。
顺带着可以看看这个界⾯都是些什么选项:
奋斗名言1. Payload t:这个选项是可以选择我们要进⾏爆破的参数。因为我们之前只选择爆破 password 的值,所以这个选项就只能选
⼀了
2. Payload type:这个选项⾥⾯可以选择攻击模式
3. 然后我们可以在 ”load“ 这个选项⾥⾯放上我们想要去跑的字典
