BurpSuite配置+实战弱口令爆破

Author:WyAr'T  满怀梦想,你我皆风华正茂,梦死方坠人生暮年。
百度已收录

0x00BurpSuite1

BurpSuite

0x01准备

弱口令环境+BurpSuite

0x02BurpSuite安装

BurpsuiteJava编写,所以电脑要配置Java环境不再演示。另外BurpSuite是一款收费软件,这里我们使用破解版
打开注册机:burp-loader-keygen.jar,然后点击Runlicense text 随便填,然后将生成的license 复制粘贴到打开的Burp里,点击Next

Burp注册机

点击Manual activation手动激活

Burp激活

request粘贴到activation request,将自动生成response,再粘贴到Burp里最下面的response中,点击Next

再次激活

激活成功

激活成功

重点:第二次打开Burp要先打开burp-loader-keygen.jar,再点击一下Run,打开软件,否则直接打开主程序还是提示输入license key,也就是可以新建一个burp-loader-keygen.jar快捷方式,在burp-loader-keygen.jar中打开Burp

0x03BurpSuite配置

配置Burp代理:
依次点击Proxy->Options->add->Binding->设置端口IP->OK
IP设置为本机IP(127.0.0.1),端口设置为8080,一般默认开启,不用设置

配置本地IP

0x04浏览器配置

Firefox为例:
菜单->选项->常规->网络设置->设置。

网络设置

手动代理配置->HTTP代理:127.0.0.1->端口:8080->为所有协议使用相同代理服务器->确定。

设置

也可以安装代理的插件SwitchyOmega
菜单->附加组件->寻找更多附加组件:SwitchyOmega->找到后选择+添加至Firefox

SwitchyOmega
安装SwitchyOmega

安装完插件SwitchyOmega,导航栏会出现插件图标

导航栏

插件设置:
点击插件图标->选项->proxy->代理服务器设置->应用选项。

SwitchyOmega设置

0x05证书2安装

证书下载:
点击插件图标选择代理/proxy->浏览器窗口输入http://burp->点击CA Certificate->保存文件->确定。

burp证书下载

本地证书安装:
点击下载的证书->安装证书->本地计算机->下一步。

本地安装证书

将所有的证书都放入下列存储->浏览->受信任的根证书颁发机构->确定->下一步。

本地证书安装

点击完成即可安装成功

证书安装完成

证书安装成功

浏览器证书安装:
菜单->选项->隐私与安全->查看证书

浏览器证书

导入->选择证书->打开->确定。

浏览器证书安装

0x06BurpSuite抓包爆破

打开BurpSuite进行抓包,Proxy->Intercept->Intercept is off/on
这里:Intercept is off代表不抓包,Intercept is on抓包,设置Intercept is on时,点击需要抓取包的页面,就可以抓取请求包。

BurpSuite

进入弱口令环境->随便输入账号密码->点击登录

弱口令环境

打开BurpSuite我们会发现已经成功抓取数据包->将数据发送到Intercept->打开Intercept下的Positions->选择Attack type下的Pitchfork->敏感的数据会被特殊的符号包围->删去无用数据的符号->保留包围账号密码的符号->进入Payloads->导入账号密码的字典->点击Star->若在新跳出的界面发现特殊的StatusLength即爆破成功->返回Proxy下的Intercept修改爆破成功的账号密码->点击Forward发送修改的数据包->返回浏览器页面登录成功

1
2
3
4
5

6

依照上述教程成功破解DVWA-Brute Force不再演示

成功破解

教程仅供参考,请勿做违法测试!

  1. BurpSuite是用于攻击Web应用程序的集成平台。它包含了许多Burp工具,这些不同的Burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架,它主要用来做安全性渗透测试
  2. 下载此证书,我们才可以用BurpSuite抓取Https协议的网站。

声明:WyArT'Blog|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - BurpSuite配置+实战弱口令爆破


满怀梦想,你我皆风华正茂,梦死方坠人生暮年。