0
点赞
收藏
分享

微信扫一扫

使用burpsuite穷举管理员密码

谷中百合517 2022-05-04 阅读 120
web安全

环境搭建:

通过kali Linux中的命令whois 域名来查询域名信息。如whois moonsec.com

常见网站架构类型:1、php+mysql+win/linux

​ 2、aspx+access/mysql+win

​ 3、jsp+oracle/mysql+win/linux

​ 4、php+postgresql+linux

文件和目录的扫描(工具):1、御剑后台扫描工具

​ 2、DirBuster

​ 3、PK

扫描是看网页中存在哪些文件,比如后台登录等

虚拟机中,学校使用nat模式,家里使用桥接,公司也是用nat

Burpsuite穷举密码:

使用火狐浏览器,在火狐浏览器中安装FoxyProxy Standard插件,并添加代理

原理:浏览器设置了本地代理,浏览器需要通过本地代理来访问互联网,所以浏览器访问网站的数据被抓包

一般流程:

1、进入网页的登录页面

2、打开代理
3、启用拦截
4、登录进行拦截,此时已经抓包成功
5、首先清除所有变量,再在密码处设置变量,加载密码本文件,进行穷举。
6、判断密码是否正确,一般会显示状态码302,另外就是相应正文的长度。

举报

相关推荐

0 条评论