Kali 笔记

搜索
查看: 1252|回复: 0

Burpsuit中文处理及暴力破解应用

[复制链接]

252

主题

356

帖子

793

积分

vip用户

Rank: 6Rank: 6

积分
793

注册会员活跃会员热心会员

QQ
发表于 2020-6-29 19:19:04 | 显示全部楼层 |阅读模式
BURPSUIT
目前我们在渗透测试中,经常会用到密码爆破这个功能项,常用的密码爆破的工具之一是BURPSUIT 。遇到中文用户名的时候,很多同学不清楚需要转换字符编码的操作。下面我来演示下中文用户名的密码爆破,先贴2段测试用的代码。
<!-- login.html --><!DOCTYPE html><html>    <head>        <meta charset="utf-8" />        <title></title>    </head>    <body>        <form action="login.php" method="post">            账号:<input name="uname"/><br />            密码:<input name="pwd"/><br />            <input type="submit"/>        </form>    </body></html>
<!-- login.php --><!DOCTYPE html><html>    <head>        <meta charset="utf-8" />        <title></title>    </head>    <body><?php    /*接收用户输入*/    $uname = $_POST['uname'];    $pwd = $_POST['pwd'];    if($uname == "管理员" && $pwd == "123456"){        echo '登录成功';    }    else{        echo '账号或密码错误';    }?></body></html>
登录页面
抓包并发送到intruder模块
选择Pitchfork
新建一个html文件
用文本编辑器打开,写入”管理员”三个字
转换字符
转换后的“管理员”字符
将转换过的字符复制进列表
匹配成功!

有没有参加CTF比赛的,一起组队啊!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表