记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Burpsuite之Http Basic认证爆破 By Verkey@pkav

2013-03-10 13:50

看到Burpsuite上的几篇文章,如:
Burpsuite教程与技巧之HTTP brute暴力破解
AuthTrans(原创工具)+BurpSuite的暴力美学-破解Http Basic认证
感觉有些小题大作了。 自己也写过Burpsuite Intruder这块的功能,所以对这些还比较了解。其实通过Burpsuite自身的功能就能够轻松实现对Http Basic认证的爆破。
下面讲解下在burpsuite_pro_v1.4.07下如何设置Http Basic认证的PayLoad(当然新版的Burpsuite已经有了Http Basic认证爆破的选项,但是感觉还是较为麻烦):

以www.baidu.com为示例,不做真的爆破,仅讲解如何设置PayLoad:

设置PayLoads,如下图所示:

将”PayLoad set”设置为”custom iterator”,然后导入用户名字典,如上图所示,导入a-z做演示。然后在右侧的separator的文本框内填入”:”,Position 1设置完毕。接下来将左侧的滚动条下拉一格,设置position 2,如下图:

在position 2直接导入密码字典,这里导入0-9做演示,separator不填。
最后一步,在“PayLoad processing rules”列表中添加Base64-encode规则,如下图:

Ok,完成了。接下来我们测试下,看图吧:

可能有些人对Burpsuite的PayLoad选项”custom iterator”认识有个误区,以为设置了多个position,“PayLoad processing rules”列表里的规则对于每一个position都是唯一的。其实错了,这里不是设置了多个PayLoad,而是将多个position组合成了一个PayLoad的,设置的PayLoad规则仅对组合成的PayLoad生效。

知识来源: pkav.net/2013/03/345.html

阅读:183878 | 评论:0 | 标签:技术文档

想收藏或者和大家分享这篇好文章→复制链接地址

“Burpsuite之Http Basic认证爆破 By Verkey@pkav”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云