0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

BurpSuite密码爆破技巧

jf_Fo0qk3ln 来源:菜鸟学信安 2023-04-17 09:22 次阅读

在渗透测试中,弱口令是一种常见的安全漏洞,因为许多用户倾向于使用简单的、容易猜测的口令,攻击者可以通过尝试不同的口令组合,找到正确的口令,从而获取系统的访问权限。因此,弱口令是渗透测试中必须重点关注的一个方面。

这里说下使用BurpSuite爆破弱口令的一些技巧,适合小白。

BurpSuite 密码爆破的流程:

1.配置代理:在使用 BurpSuite 进行密码爆破之前,需要将浏览器配置为使用 BurpSuite 代理。具体方法是在浏览器中设置代理地址为 BurpSuite 的监听地址和端口

2.指定爆破目标:在 BurpSuite 中选择要爆破的 URL,然后右键点击选择“Send to Intruder”(发送到 Intruder)。在 Intruder 界面中,可以设置要爆破的参数

3.配置 Payload:在 Intruder 界面中选择“Payloads”选项卡,可以设置 Payload,即要爆破的密码列表。可以使用默认的 Payload,也可以导入自定义的密码字典。

4.配置位置标记:在 Intruder 界面中选择“Positions”选项卡,可以设置位置标记,即指定哪些参数需要被替换为 Payload 中的密码。

5.配置攻击类型:在 Intruder 界面中选择“Attack types”选项卡,可以选择攻击类型。常用的攻击类型包括暴力破解、字典破解、组合破解等。

6.开始爆破:在 Intruder 界面中点击“Start attack”按钮,开始密码爆破。

7.分析结果:在 Intruder 界面中可以查看爆破的结果。可以根据返回结果判断哪些密码是正确的,然后尝试使用正确的密码登录应用程序。

BurpSuite 密码爆破TIPS

1.使用自定义的 Payload:默认的 Payload 不适用于爆破弱口令。因此,可以根据应用程序的特征和需求,自定义 Payload,提高密码爆破的成功率,字典最为关键。可以根据收集的信息利用python脚本自动生成密码字典。

2.智能化攻击:BurpSuite 的 Intruder 工具可以根据应用程序的响应自动判断密码是否正确。利用这个功能,可以快速地排除错误的密码,提高攻击效率。

3.使用多个攻击类型:针对不同的应用程序和密码,不同的攻击类型可能会产生不同的效果。因此,可以使用多个攻击类型进行密码爆破,提高攻击成功率。

4.使用代理池:支持使用代理池进行密码爆破,可以有效地降低被目标网站封禁的风险。

5.启用多线程:支持启用多个线程进行密码爆破,可以提高攻击效率。

如何防止引起目标网站注意

密码爆破是一种高风险的攻击行为,容易引起目标网站的注意,因此在爆破过程中需要采取措施防止被目标网站发现。以下是一些常见的防御措施:

1.使用代理服务器:在进行密码爆破之前,需要在 BurpSuite 中配置代理服务器。这样可以隐藏真实 IP 地址,并防止被目标网站检测到攻击的来源。

2.限制攻击速率:密码爆破过程中,攻击速率过快容易被目标网站检测到,因此需要限制攻击速率。在 BurpSuite 中,可以通过调整 Intruder 的配置来限制攻击速率,比如设置攻击间隔、设置每次发送的 Payload 数量等。

3.使用多个代理服务器:可以使用多个代理服务器轮流进行攻击,这样可以避免被目标网站检测到攻击的来源。在 BurpSuite 中,可以通过配置代理池来实现轮流使用代理服务器。

4.随机 User-Agent:目标网站可能会根据 User-Agent 来检测爆破行为,因此需要使用随机的 User-Agent。在 BurpSuite 中,可以通过配置 Intruder 的 Payloads 选项卡来指定随机的 User-Agent。

5.避免过多的尝试:在进行密码爆破时,不应该过多地尝试。因为尝试次数过多容易被目标网站检测到攻击行为。在 BurpSuite 中,可以通过设置 Payload 的位置范围、设置 Payload 参数类型等方式,避免无效的尝试。

6.禁用自动跳转:在进行密码爆破时,应该禁用浏览器的自动跳转功能。因为自动跳转可能会暴露攻击的来源,从而被目标网站检测到攻击行为。

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9015

    浏览量

    85169
  • 智能化
    +关注

    关注

    15

    文章

    4813

    浏览量

    55236
  • 安全漏洞
    +关注

    关注

    0

    文章

    150

    浏览量

    16705

原文标题:BurpSuite密码爆破技巧

文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    喇叭爆破音的处理方法

    最近调试功放的时候,会偶然出现喇叭爆破音的情况,尽管软件工程师用MUTE脚去减弱爆破音,但时不时的会连续出现爆破音的现象. 不知各位攻城狮都有没有遇到过,及各自的处理方法?我的电路图如下:
    发表于 02-27 17:24

    怎样去解决电脑的电流声和爆破

    电脑为什么会发出电流声和爆破声?如何去解决电脑的电流声和爆破声?
    发表于 10-11 09:08

    爆破噪声的监测研究

    爆破噪声的监测研究摘 要:  分析了国内爆破噪声的控制标准和其在频率和响度方面的评价方法,阐述了爆破噪声测量中声级计、爆破振动自动纪录系统等仪器的使用方式和数
    发表于 12-25 18:11 12次下载

    无线遥控爆破发射电路

    无线遥控爆破发射电路
    发表于 02-12 20:58 1371次阅读
    无线遥控<b class='flag-5'>爆破</b>发射电路

    无线遥控爆破接收,引爆电路

    无线遥控爆破接收,引爆电路
    发表于 02-12 20:59 2515次阅读
    无线遥控<b class='flag-5'>爆破</b>接收,引爆电路

    Delphi教程_爆破特技窗体

    Delphi教程爆破特技窗体,很好的Delphi资料,快来下载学习吧。
    发表于 03-16 14:47 3次下载

    爆破测振仪的优势及参数

    该产品在吸收进口设备的技术水平基础上,经过团队的不懈努力和创新,打造出国内首款集超高精度,全自动模式于一体的爆破测振仪。该产品拥有24位平台,三核设计,真正实现全自动测量,适用各种爆破工况。
    发表于 03-24 16:32 1549次阅读

    密码是什么?有什么用?应用在哪?

    的案例中,经常出现同一家公司,多台机器同时感染病毒导致文件被加密的情况,这背后的原因还是由于弱口令。简单来说,就是:弱口令,易爆破,攻破一个,连累一窝。这类口令设置简单、容易被破解的口令就是弱密码
    的头像 发表于 12-28 15:46 9179次阅读

    踏歌智行与宏大爆破达成战略合作

    9月22-23日,踏歌智行作为无人驾驶领域的唯一代表应邀出席宏大爆破工程集团有限责任公司(以下简称“宏大爆破”)第一届供应链大会并致辞。会议期间双方举行了隆重的战略协议签约仪式。宏大爆破工程集团
    的头像 发表于 09-28 10:36 1202次阅读

    一款域内密码喷射评估工具

    这是一个域内的密码喷射评估工具,能通过ldap收集用户名,并根据密码设置策略进行自动域内的密码喷射评估。SharpSpray是对SharpHose项目进行改造实现的,解决了原项目中无法在域外
    的头像 发表于 10-19 09:29 1027次阅读

    如何用Burpsuite抓取exe数据包?

    前几天在群里看到有师傅在问如何用Burpsuite抓取exe数据包的问题?所以想着写篇文章简单记录一下Burpsuite+Proxifier抓取exe数据包的方法。
    的头像 发表于 06-12 16:12 6432次阅读
    如何用<b class='flag-5'>Burpsuite</b>抓取exe数据包?

    球囊额定爆破压(RBP)测试仪

    导管有两种特性:额定爆破压力,即达到并包括单次充盈时球囊不会爆炸的压力:公称压力,指的是气球达到其标记直径时的压力。球囊额定爆破压(RBP)试验(根据YY0285.4-2017 血管内导管一次性
    的头像 发表于 03-02 15:29 1646次阅读
    球囊额定<b class='flag-5'>爆破</b>压(RBP)测试仪

    一次授权测试引起的全域名沦陷

    这里因为web有记录时间戳的功能,影响了BurpSuite包返回长度,那么爆破就需要特意的编写python脚本,并且爆破的效率看起来也一般般,先把这条路放到最后。
    的头像 发表于 07-03 09:57 367次阅读
    一次授权测试引起的全域名沦陷

    爆破综合试验机是什么?一文看懂爆破检测仪的测试原理、应用优势

    什么是爆破综合试验机爆破综合试验机是一种用于测试材料爆破性能的设备。它由一个加压装置(爆破检测仪)、一个试验箱(工装治具)和一个检测系统(测试软件)组成。加压装置通过向试验箱内充入高压
    的头像 发表于 08-24 08:33 1111次阅读
    <b class='flag-5'>爆破</b>综合试验机是什么?一文看懂<b class='flag-5'>爆破</b>检测仪的测试原理、应用优势

    一个集成的BurpSuite漏洞探测插件

    BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试人员,也为高级安全专家提供了灵活性和定制性,使其能够更深入地分析和攻击应用程序。
    的头像 发表于 01-19 11:35 1173次阅读
    一个集成的<b class='flag-5'>BurpSuite</b>漏洞探测插件