Kali Linux中BurpSuite工具爆破密码详解

这篇具有很好参考价值的文章主要介绍了Kali Linux中BurpSuite工具爆破密码详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

BurpSuite:

Kali Linux是一个基于Debian的Linux发行版,主要用于渗透测试和网络安全。它包含了大量的安全工具,例如渗透测试、web程序、漏洞挖掘、防火墙、取证工具、无线网络工具等,适合在安全测试、安全研究和网络安全培训等领域使用。其中在web程序中包含了BurpSuite这个Web应用程序测试工具,可用于抓包、爆破密码、渗透测试、安全审计等方面。

Burpsuite是一个用Java编写的Web应用程序测试工具,它提供了许多功能。Burp Suite是一套通过攻击模拟来进行Web应用程序漏洞扫描、测试、攻击和漏洞修复的著名工具。以下是它的用途:

1.检测和利用Web应用程序的漏洞。

2.获取Web应用程序中的敏感信息,如登录认证、信用卡号码等等。

3.修改网站上的内容或参数,以进行测试、攻击或篡改。

4.追踪网站的流量和行为,以提高对Web应用程序的了解和掌握。

5.执行安全测试,以确保应用程序的安全性和可靠性

总的来说,Burp Suite是一个功能强大的工具,它能够帮助您在测试和保护Web应用程序方面做得更好和更安全。

如何使用BurpSuite开始爆破密码:

下面由VMware WorkStation Pro 15.5,kali linux 2023举例:

打开VMware启动虚拟机:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

 首先大体介绍爆破密码前的准备工作

1.首先先在kali linux开始界面中搜索BurpSuite或在root界面输入burpsuite回车直接打开burpsuite工具,该工具为Kali Linux系统自带的Web程序

2.打开之后一路点击Next和Start Burp即可

3.进入BurpSuite

下面开始详解如何爆破密码:

1.第一步:

打开BurpSuite后,点击上方proxy,之后点击Intercept is off调为Intercept is on

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

2.设置系统自带浏览器代理

打开浏览器,进入设置页面,在代理设置中设置IP地址为127.0.0.1,端口号为8080。这样就可以将Burp Suite作为代理,指向目标网站。

打开Burp Suite工具,在左侧的Proxy选项卡中,设置监听端口为8080,并勾选Intercept Client Requests和Intercept Server Responses。这样就可以截获客户端请求和服务器响应,并进行修改和重放。

下面由Kali Linux的Firefox ESR示范:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

设置如下图:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

设置成这样即可

注意正常上网调成使用系统代理设置,进入题目链接后再调成手动配置代理!

3.开始爆破密码

靶场来源:www.qsnctf.com

题目:Checkme06

不想自己搭建靶场的伙伴可以尝试用这个青少年CTF训练平台,此题目Checkme06即为弱口令爆破密码题目,作者就由该题进行举例了:

首先还是进入BurpSuite,点击Proxy,调为Intercept is on

之后切换至题目链接:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

点击“登陆” ,之后就可以发现BurpSuite成功抓到请求包:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

 成功抓包后,即可开始爆破密码,首先需要知道题目用户名,通常来讲用户名为admin,题目中的提示也是admin,所以将username设置为定值为admin。

而后面的passwd则是密码,设置为变量。

而爆破的密码不是随机的,需要让BurpSuite跑字典,字典的内容就是需要爆破的密码,使用题目给用的字典,若没有字典可以尝试自己手动使用txt纯文本录入或上网搜索资源。

该题目给出的字典为list.txt,下载备用

下为详细举例教程:

1.点击Action后再点击Send to Intruder

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

 2.点击上方Intruder,选择Sniper(密码爆破)

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

 3.设置username和passwd的量:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

添加符号注意,在值前后都加上符号是定值,只在前面加符号是变量,爆破针对变量!

POST /index.php HTTP/1.1
Host: 13254e99-fe79-49b7-965e-003d47595ade.challenge.qsnctf.com:8081
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 19
Origin: http://13254e99-fe79-49b7-965e-003d47595ade.challenge.qsnctf.com:8081
Connection: close
Referer: http://13254e99-fe79-49b7-965e-003d47595ade.challenge.qsnctf.com:8081/index.php
Cookie: Hm_lvt_10309f8528ef7f3bdd779aa12ad6dc7e=1691814769,1691815021,1691821527,1691888272; _ga_Y057G8H97X=GS1.1.1691888272.8.1.1691888310.0.0.0; _ga=GA1.1.488074433.1691722186; Hm_lpvt_10309f8528ef7f3bdd779aa12ad6dc7e=1691888306
Upgrade-Insecure-Requests: 1

username=§admin§&password=§123456789

4.点击上方Payloads开始录入字典

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

可以看见已经取到字典了:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

5.开始爆破

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

6.等待爆破完成

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

寻找异常Length数据,则该密码为正确密码:

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

 经过以上操作就成功爆破出用户密码了

结果为:19861022

需要flag的同学可以在返回包里看见

burpsuite爆破密码,Kail Linux,ctf web,linux,网络,运维

这就是我给大家带来的 Kali Linux中BurpSuite工具爆破密码详解

该工具具有伤害性,危害性强,切勿用于违法犯罪等途径

感谢您的浏览~~文章来源地址https://www.toymoban.com/news/detail-716435.html

到了这里,关于Kali Linux中BurpSuite工具爆破密码详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • BUU BRUTE 1(burpsuite爆破初学)

    打开靶机,只有用户名密码界面  首先f12,当然啥有用的都没有,这时候本萌新开始懵逼了,结合题目brute学习一下怎么爆破 这里参考BUUCTF Brute 1使用BurpSuite爆破详解_bill_fang的博客-CSDN博客师傅的文章,根据随便输的账号密码提示“用户名错误”,尝试先爆破用户名再爆破密

    2024年02月09日
    浏览(35)
  • kali中安装BurpSuite

    写在前面:在学习过程中使用kali虚拟机需要用到burpsuite工具,虽然一般情况有自带的社区版,但在使用的时候不太习惯,就自己安装平常使用的破解版。过程其实非常简单,像本人一样的小小菜们不用担心。let’s go 要安装,首先得有安装包,此处提供一个链接: burpsuite下载

    2024年02月02日
    浏览(25)
  • [CTF/网络安全]BurpSuite爆破实战解题详析之BUUCTF Brute 1

    免责声明:本文仅分享AntSword渗透相关知识,不承担任何法律责任。 请读者自行安装BurpSuite,本文不再赘述。 在用户名和密码都未知的情况下,进行用户名、密码的组合爆破,效率极低。 先爆破用户名,再利用得到的用户名爆破密码,将提高爆破速度。 题目 操作 Burp抓包

    2024年02月06日
    浏览(54)
  • kali系统安装专业版burpsuite

    kali自带的免费burpsuite用不惯。换个好用的吧 命令行输入: Burp_Suite_Pro_v1.7.37_Loader_Keygen 下载连接:https://wwm.lanzoul.com/iJmSJkavl2j 密码:7bwp jdk-8u361-linux-x64.tar 下载连接:https://www.oracle.com/java/technologies/javase/javase8u211-later-archive-downloads.html 官网下载jdk需要一个账号,可以在网上搜,

    2024年02月13日
    浏览(41)
  • KALI-Burpsuite使用说明

    这是kali自带的一款抓包软件,用来抓包有很好的效果。 我们在kali中获取root权限后直接输入burpsuite 阅读完内容后选择I Accapt 后面就是选择NEXT然后一路跳过 然后在开始burpsuite前,我们需要进行一些代理配置 然后我们打开kali中的火狐浏览器,点开右边的三个-,选择设置 我们

    2024年02月06日
    浏览(31)
  • Burpsuite破解用户名和密码

    搭建环境:         目标网站:http://43.138.211.45:82         Burpsuite工具和一套密码本 Proxy-intercept is on。 输入用户名和密码,就可以在Proxy下看到抓取的数据。 右击-Send to intruder。 1)清楚cookie自动加亮的变量$,点击炸弹轰炸(cluster bomb)爆破,在username和password下添加变

    2024年02月05日
    浏览(43)
  • kali/windows/burpsuite/Python下计算md5,sha1,sha256,base64的值

    对明文进行加密使之变成密文时,常用到的有 md5,sha1,sha256,base64      情景 :假设对“202222804198”这串数字进行加密,windows和kali桌面上已存在一个“1.txt”的文件,文件内容为该数字( 文件中除了需要加密的内容外不要有空行,回车的存在 ) 首先简单了解certutil的用法

    2024年02月11日
    浏览(47)
  • kali中爆破zip压缩包密码

    sudo apt-get install fcrackzip fcrackzip [选项] [选项] ... 文件名 -b:使用暴力破解 -l 4-4 :指定密码长度,最小长度-最大长度 -u :不显示错误密码,仅显示最终正确密码 -c :指定字符集,字符集 格式只能为 -c \\\'aA1!:\\\' a 表示小写字母[a-z] A 表示大写字母[A-Z] 1 表示阿拉伯数字[0-9] ! 感叹

    2023年04月09日
    浏览(39)
  • Kali之zip压缩包密码爆破

    1、已知格式为ZIP 2、已知密码为4位,前3位是数字,最后一位可能是数字可能是大写字母 使用zip2john 1.使用john爆破密码 2.使用hashcat爆破密码 hashcat -a 3 -m 17200 /root/passwd.txt --increment ?d?d?d?u -o output.txt 解释: -a的选择 -m的选择 -m的代码意味着哈希类型的选择,具体参考以下网址

    2024年01月18日
    浏览(45)
  • 渗透测试工具——BurpSuite

    BurpSuite其实是由多个不同的小工具(功能模块)组成的集合,工具与工具之间可以联动 主要功能模块: Target:显示目标目录结构的-个功能 Proxy:拦截HTTP/HTTPS的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截、查看修改在两个方向上的原始数据流 Intruder:

    2024年02月15日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包