历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    Burpsuit中文处理及暴力破解应用
    huoh****@163.com 安全工具 13949浏览 · 2020-06-09 01:25

    BURPSUIT

    目前我们在渗透测试中,经常会用到密码爆破这个功能项,常用的密码爆破的工具之一是BURPSUIT 。遇到中文用户名的时候,很多同学不清楚需要转换字符编码的操作。下面我来演示下中文用户名的密码爆破,先贴2段测试用的代码。

    <!-- login.html -->
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title></title>
    </head>
    <body>
        <form action="login.php" method="post">
            账号:<input name="uname"/><br />
            密码:<input name="pwd"/><br />
            <input type="submit"/>
        </form>
    </body>
</html>

    <!-- login.php -->
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title></title>
    </head>
    <body>
<?php
    /*接收用户输入*/
    $uname = $_POST['uname'];
    $pwd = $_POST['pwd'];

    if($uname == "管理员" && $pwd == "123456"){
        echo '登录成功';
    }
    else{
        echo '账号或密码错误';
    }
?>
</body>
</html>

    登录页面

    抓包并发送到intruder模块

    选择Pitchfork

    新建一个html文件

    用文本编辑器打开,写入”管理员”三个字

    转换字符

    转换后的“管理员”字符

    将转换过的字符复制进列表

    匹配成功!

    2 人收藏 0 人喜欢 转载 分享
    7 条评论
    某人
    表情
    可输入 255
    爱吃猫的闲鱼
    2020-07-06 07:43 0 回复

    @huoh****@163.com 就你这个demo,你用导入爆破的方式没有问题的,我都试过了,除非是版本问题


    wu2****7210
    2020-07-03 19:59 0 回复

    244577210


    wu2****7210
    2020-07-03 19:58 0 回复

    收徒不给学费的哦,v


    huoh****@163.com
    2020-06-17 03:11 0 回复

    @爱吃猫的闲鱼 没处理过字符集,直接导入是不行的。


    爱吃猫的闲鱼
    2020-06-10 05:10 0 回复

    你不会直接导入吗,干嘛要直接复制


    huoh****@163.com
    2020-06-09 11:50 0 回复

    @爱吃猫的闲鱼 burp不支持中文直接复制!


    爱吃猫的闲鱼
    2020-06-09 02:59 0 回复

    这有啥意义呀,你直接中文字符爆破不成功吗,况且直接复制的话大概率会出错的,直接在爆破的时候用url编码不是更简单吗


      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持