Brupsuite-暴力破解网站密码

          阅读(271)

    Brupsuite暴力破解网站密码

    Brupsuite呢,功能多多哒,很牛逼哒。今天呢,博主来演示下它的 暴力破解 功能。

    要hacking的是一个高考科目选报网页(淡定淡定,没事的)

    下面正式教程

    <1.0day说明>

    这个网页呢,偶们高三党填报选考科目的。然后呢,机智的我发现(>-<),漏洞蛮多的。

    1.登陆后验证码不会更新!不会更新!我去,那你这个验证码干嘛使得,吓唬孩纸啊。

    2.身份证输入正确或失败的提示不同,酱紫就可以用brupsuite暴力破解了。

    3.童鞋的生日很容易搞到的吧,那么省份证的前几位也就搞定了。剩下的四位,A4,4=10000,才1w种可能,秒破。

    4.身份证破出来后,剩下的社工搞出密码,登陆。就可以给他填写选考科目了。

    5.很邪恶!有木有!他读物化生的,然后你给他写个政史地,一生毁了!这种缺德事不能做!博主就是玩玩!还有,山东有两起这种案子,最后hack都被判刑了!But!被坑的那几个孩纸,居然tm一生真的被毁了!欲哭无泪啊!!!!!

    Brupsuite-暴力破解网站密码

    Brupsuite-暴力破解网站密码Brupsuite-暴力破解网站密码

    <2.配置brupsuite>

    这里博主用的是kali linux 下的brupsuite,win下的安装配置太麻烦了。然后,才发现,kali我也没配置,装输入法、浏览器、汉化。还是麻烦……唉

    再说明下,kali下的不是pro版的,是free版的。但是,我发现,唯一的区别就是没字典,这个嘛,麻烦点我们自己搞定。

    1.打开burpsuite

    proxy–>options–>选择第一条–>edit–>把端口改成8080,地址换成127.0.0.1–>保存–>运行

    说不太清,看图吧

    Brupsuite-暴力破解网站密码

    2.打开浏览器,配置代理

    地址:127.0.0.1 ? ?端口:8080

    保存即可

    这里就配置完成啦

    Brupsuite-暴力破解网站密码 Brupsuite-暴力破解网站密码

    <3.brupsuite暴力破解>

    下面进行各种麻烦配置,耐心啊

    打开要破解的网站,身份证后四位随便写一个,密码随便写,验证码写好,别点登陆

    Brupsuite-暴力破解网站密码

    Proxy–>Intercept–>点击“Intercept is off”按钮,按钮会变成“Intercept is on”

    Brupsuite-暴力破解网站密码

    打开啊之前的登陆页面,点击登陆

    可以看到brupsuite已经把提交数据截下来了

    Brupsuite-暴力破解网站密码

    在文字区域右击,选择”Send to Intrder”

    Brupsuite-暴力破解网站密码

    Intruder–>Positions

    先点击右边的“Clear $”按钮,清除所有默认参数

    然后选中需要暴力破解的内容,这里是身份证后四位

    右边单击add

    可以看到选择内容加了俩个$$,OK了

    Brupsuite-暴力破解网站密码 Brupsuite-暴力破解网站密码

    Payloads–>Payload type

    这里我们选择“Simple list”

    Brupsuite-暴力破解网站密码

    在下方载入字典

    对!就是这里了!pro版的可以直接配置字典,而free版的还要从外部导入字典,太坑了!不能欺负屌丝啊!

    木关系,我们自己生成字典吧。

    win下下载易优字典生成器,生成一个四位数字字典,共10000位,导入kali

    选择load… –> 打开字典,看到左边框框有字典就OK了

    Brupsuite-暴力破解网站密码

    切换到“Options”,可以设置各种配置,线程什么的。

    然而,又欺负屌丝了,free版的居然不能加线程。

    不给字典我也就忍了,这个忍无可忍!!!不加线程慢死!

    算了……还是忍吧……当我没说………………………………

    Brupsuite-暴力破解网站密码

    点击菜单栏的“Intruder”,选择“Start attack”,开始破解!!!嗨起来~~~bang bang bang

    Brupsuite-暴力破解网站密码

    这速度……不想说什么……

    可以看到返回了好多 ?200、那么怎么才算破解到了密码呢

    Brupsuite-暴力破解网站密码

    我们看下返回码,找不同被,密码正确和错误肯定不一样咯~

    看,那个503应该就是密码了,OK

    当然也有可能是系统错误,我们手动试一试即可

    密码就破解成功了

    对于其他网页的密码,brupsuite同样可以破解

    当然,brupsuite的功能绝不是简单的暴力破解密码,其他强大的功能各位读者慢慢探索把~~~

    对了对了对了!!!忘说明了,破解完毕后要把浏览器的代理改回来哦~不然上不了网的呢~切记切记

    最后!!!别去做坏事!!!枪拿在手上,不是用来杀人的!

    一切后果!本人概不负责!


    LeMe·青柠时光 | http://leme2014.com

    2016-08-25 10:18:03


    喜欢 0



还没有人抢沙发呢~

加载中……