今天在做渗透测试的时候无意中扫描到了网站的后台。填写了一下账号和密码,抓包看了一下:
红色方框圈出来的其实就是我们填写的、加密后的账号和密码,选中红框内的东西,右键,发送到
选择使用解密一下,账号为11111,密码为22222。这是我随意输入的账号和密码,目的是观察发送过去的结构。所以很显然,结构就是
账号:密码
所以使用爆破的思路就是,先从用户名爆破文件里面导入用户名,再在每一个用户名后面加一个冒号,最后再在每一个冒号后面添加所有可能的密码,再把这三个的结合体使用加密后发送给服务器,逐个尝试直到。也就是说我们需要给导入三样东西,即:用户名表、冒号、密码表。
接下来就是使用进行爆破了(这才是重点2333)。
如果你也操作到这里了,那就继续往下做~~~
返回Proxy的选项卡,右键,选择“ ”
在的中:
1.选择, type选择,选中使用加密过的那一段密文,点击右侧的Add$
2.选择, type选择
3.选择1,点击下方的Clear,点击Load items from file,选择一个用户名爆破文件(网上找一个下载到本机)
4.选择2,点击下方的Clear,在Add出输入 : (注意是英文),点击Add
5.选择3,点击下方的Clear,点击Load items from file,选择一个密码爆破文件(网上找一个下载到本机)
6.在 中的Add,选择,然后选择-,点击ok
7.在 中,取消勾选URL-
8.点击 Start ,开始爆破。
等待爆破完成后,我们点击,或者查看码即可直到哪一个是正确的账号和密码。(此时我们看到的是加密后的)
然而,可能是我的字典太小了,没爆破出来 ~T_T~
相关文章
