|
BURPSUIT 目前我们在渗透测试中,经常会用到密码爆破这个功能项,常用的密码爆破的工具之一是BURPSUIT 。遇到中文用户名的时候,很多同学不清楚需要转换字符编码的操作。下面我来演示下中文用户名的密码爆破,先贴2段测试用的代码。 <!-- login.html --><!DOCTYPE html><html> <head> <meta charset="utf-8" /> <title></title> </head> <body> <form action="login.php" method="post"> 账号:<input name="uname"/><br /> 密码:<input name="pwd"/><br /> <input type="submit"/> </form> </body></html>
<!-- login.php --><!DOCTYPE html><html> <head> <meta charset="utf-8" /> <title></title> </head> <body><?php /*接收用户输入*/ $uname = $_POST['uname']; $pwd = $_POST['pwd']; if($uname == "管理员" && $pwd == "123456"){ echo '登录成功'; } else{ echo '账号或密码错误'; }?></body></html>
登录页面抓包并发送到intruder模块选择Pitchfork新建一个html文件用文本编辑器打开,写入”管理员”三个字转换字符转换后的“管理员”字符将转换过的字符复制进列表匹配成功!
| 
发表于 2020-6-29 19:19:04
