Burp suite 暴力破解shell密码详细教程

http://www.yunsec.net/a/security/web/jbst/2012/0908/11390.html

Burp suite是由portswigger开 发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利。

Burpsuite需要JAVA支持,请先安装JAVA环境。

首先我们先打开Burpsuite,proxy >> intercept >>intercept off,把拦截(intercept)功能关闭,因为我们这里不需要进行数据拦截

 

然后,使用代理端口8080

设置好了以后,我们打开我们的浏览器,设置浏览器的代理,这里我使用的是火狐浏览器,当然,其他浏览器也可以,设置代理即可

我们这里的端口是8080,如果前面你的端口被占用了,你可以换成其他端口,这里填写你更换的端口,提示一下,如果不使用这个软件的话,记得把浏览器的代理给关掉哦,否则无法上网哦

这样我们的burp_suite就可以成功抓取浏览器的数据了。

现在我们在浏览器上打开我们的webshell,随便输入密码,密码错误,提示

我们抓取的数据包

然后,我们把抓到的POST请求包发送到"入侵者"(intruder)中进行破解。因为我们输入密码进行验证本身就是一个表单的POST请求。所以千万不要选错GET。如图:

之后我们就会跳转到侵入者功能菜单页面

我们在position(位置)这个菜单页选择attack type(功能类型)为默认sniper即可。

然后,选中COOKIES中后半部分(深色)。 点击右边第二个clear$按钮,去掉$符号(非$,不知道这个符号怎么打,哈哈)。

然后跳转到payloads(负荷)功能标签页面。

这里是密码字典的一些配置。我们点击LOAD从一个文件从导入密码(字典我会在本文后面提供下载地址)

如图,我已经导入了我的密码字典,之后再跳转到最后一个选项标签菜单页面。这里是对一些错误信息过滤的配置。从刚才我们随意输入密码返回的错误信息中,随意输入部分即可。点击ADD添加

如果在这里我们也可以不选择,我们到后面根据包的大小也可以判断密码是否正确

之后就算配置完成了。现在就可以开始攻击了!

 

XML/HTML Code 复制内容到剪贴板
  1. 584521  
  2. nohack  
  3. 45189946  
  4. hacksb  
  5. hackersb  
  6. heixiaozi  
  7. 360  
  8. sb360  
  9. 360sb  
  10. yushiwuzheng  
  11. wuzheng  
  12. spider  
  13. angel  
  14. 4ngel  
  15. yyswxws  
  16. lcx  
  17. nc  
  18. hackqingshu  
  19. qingshu  
  20. qingshu$  
  21. sz  
  22. sunzi  
  23. shunzi  
  24. 123!@#  
  25. !@#123  
  26. 123654  
  27. 123654789  
  28. 123654789!  
  29. 123654789.  
  30. aspadmin  
  31. phpadmin  
  32. jspadmin  
  33. aspxadmin  
  34. noadmin  
  35. cms  
  36. iamnotadmin  
  37. fuckit  
  38. fuckhack  
  39. fuckhacker  
  40. F19ht  
  41. f19ht  
  42. fight  
  43. hkmjj  
  44. chinared  
  45. ouou  
  46. hake  
  47. hakecc  
  48. wwwhakecc  
  49. 520hack  
  50. hack520  
  51. r4sky  
  52. ghost  
  53. baidu  
  54. yy  
  55. daoqq  
  56. daohao  
  57. sb  
  58. youaresb  
  59. caonimadebi  
  60. caonimade  
  61. worinima  
  62. wocaonima  
  63. caonimei  
  64. lunnijie  
  65. whatweb  
  66. baidusb  
  67. baiduadmin  
  68. chenxue  
  69. cnot  
  70. xxoxx  
  71. rinima  
  72. hkk007  
  73. chengnuo  
  74. wrsk  
  75. wrsky  
  76. 54321  
  77. yuemo  
  78. 521  
  79. *******  
  80. 4lert  
  81. yuemo  
  82. maek   
  83. dreamh  
  84. Shell  
  85. xxxxx  
  86. shell  
  87. 10011C120105101  
  88. fclshark  
  89. 19880118  
  90. 376186027  
  91. 654321  
  92. 535039  
  93. 000  
  94. 123  
  95. windows  
  96. darkst  
  97. jcksyes  
  98. jcksyes  
  99. jinjin  
  100. 12345  
  101. sq19880602  
  102. jtk2352  
  103. sq19880602  
  104. kill  
  105. chengnuo  
  106. 45189946  
  107. 123321  
  108. hacker  
  109. hack  
  110. haode  
  111. chuang  
  112. aiezu  
  113. 981246  
  114. et520  
  115. 12  
  116. lx  
  117. lengxue  
  118. 20080808  
  119. aoyunhui  
  120. fucker  
  121. tiger  
  122. tig  
  123. tag  
  124. iloveshell  
  125. loveshell  
  126. yrpx  
  127. air  
  128. hkk007  
  129. wrsk  
  130. rinima  
  131. caonima  
  132. ceshi2009  
  133. kissy  
  134. 520  
  135. 52013  
  136. 5201314  
  137. 3452510  
  138. 1314520  
  139. rfkl  
  140. username  
  141. 847381979  
  142. jing  
  143. winner  
  144. 4816535  
  145. shaomo  
  146. zhack  
  147. mama  
  148. mama520  
  149. fuckyou  
  150. Fuckyou  
  151. FuckYou  
  152. lengfeng  
  153. lengfengsk  
  154. rensheng  
  155. rs  
  156. fuck  
  157. 123go  
  158. 1  
  159. xiaowu  
  160. Baike  
  161. admin888  
  162. honker  
  163. hongker  
  164. liner  
  165. lin  
  166. xiaoyi  
  167. xiaoe  
  168. 1  
  169. login  
  170. 888999  
  171. Evav  
  172. 13572468  
  173. Sa  
  174. sa  
  175. sasa  
  176. dangdang  
  177. webshell  
  178. lovehack7758  
  179. rfkl  
  180. 123  
  181. darkst  
  182. asp  
  183. hkmm  
  184. 133135136  
  185. 80sec  
  186. G.xp  
  187. gxp  
  188. 1992724  
  189. satan  
  190. Satan  
  191. yong  
  192. fst  
  193. f.s.t  
  194. F.S.T  
  195. noid  
  196. sadness  
  197. caodan  
  198. 96315001  
  199. admin  
  200. axiao   
  201. 847381979   
  202. rfkl  
  203. yuemo  
  204. 12  
  205. bzxyd   
  206. tonecan   
  207. bzxyd  
  208. 5201314   
  209. 3est   
  210. sin   
  211. 654321   
  212. ghost   
  213. C  
  214. cc  
  215. evil  
  216. evilhk  
  217. evilhack  
  218. evilhacker  
  219. yong  
  220. ying  
  221. webadmin  
  222. webadmin2  
  223. HqzX  
  224. tx  
  225. tengxin  
  226. tengxunsb  
  227. danteng  
  228. rusuan  
  229. dantong  
  230. youguest  
  231. cmdshell  
  232. Webshell  
  233. WebShell  
  234. sh3ll  
  235. h4ck  
  236. h4ck3r  
  237. ufo  
  238. ufohack  
  239. jiaozu  
  240. huaidan  
  241. jiaozhu  
  242. lover  
  243. love  
  244. daoker  
  245. daokers  
  246. daoke  

使用包大小,有时会受到网速或者其他误差,所以能找到关键字就添加关键字吧!

 

 

burp suite需要安装Java环境才可以运行,JDK6官方下载地址:

http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jdk-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe

burpsuite_pro_v1.3.03 破解版免费下载:http://u.115.com/file/e6yeojob

你可能感兴趣的:(Burp,suite)