网络安全学习(五)Burpsuite实战

原创 已于 2024-09-17 16:33:02 修改 · 435 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习

于 2024-09-17 13:23:58 首次发布

bp功能确实强大,记录一个bp手机验证码的实例。

当然,首先要打开bp,设置好浏览器的代理。

浏览器访问实例网址www.xxx.com(隐藏真实网址)。

真实网址有个注册功能,需要手机验证码。

好的,我们依次输入手机号、输入密码。

 

 点击“获取验证码”,对应手机号就应该收到验证码了。

但是,如果手头没有这部手机,我们是不知道验证码是多少,这时,就需要使用bp来解决。

一、在页面“请输入验证码”的框中,随意填入验证码,如1111

二、在bp中,Proxy-将ntercept is off让其变成intercept is on(开启拦截)

三、点击“注册”,此时,因为bp已经拦截,所以可以在bp中查看要发送的数据包

四、右键空白处-将数据包发送至Intruder

五、在Intruder中,在Position标签界面内

首先选择attack type类型,共有四种:(参考文章https://www.cnblogs.com/moxuexiaotong/p/18303479

(1)狙击手模式,只能对一个变量进行bp

(2)攻城锤模式,通常设置两个攻击变量,但这两个变量内容实际为同一个内容,如

发送链接中POST api/code=1111

发送数据中{'code':1111}

想要同时把1111设置为变量进行bp,就需要这种模式。

(3)干草叉模式,设置几个变量就可以设置几个字典,但是字典中的参数都是一一对应的

(4)集束炸蛋模式,设置几个变量就可以设置几个字典,交叉对应,存在的可能性最多

将1111设置为Intruder变量,

然后到Payloads标签界面内, 设置为0001-9999,步长为1

六、点击Start attack,等待。

七、针对长度不同的返回的那一个四位数Payload,就是正确的验证码,且注册成功。

八、尝试这个手机号和密码登陆,发现ok了。

小小爬虾
关注
基于Burp爆破验证码
没有网络安全就没有国家安全
08-22 1714
本片文章主要讲解如何利用burp爆破验证码
Burp Suite工具破解短信验证码登录
这里有橙子的博客
08-31 6591
1.首先抓取登录的包,右击选择发送给Intruder 2.选择测试器,目标中显示攻击目标信息 3.测试器-位置中,攻击类型选择狙击手,首先点击清除按钮,清除掉已设置负载的字段,双击需要分配有效负载的字段点击添加按钮,如下双击验证码code,点击添加按钮 4.有效载荷中可如下设置,有效载荷集选择数值,数字格式中有举例,点击右上角的开始攻击,程序会从6000至7000一次递增尝试验证验证码是否正确。 5.如下截图是攻击结果,正确的验证码的长度与其他验证码的长度不一致, ...
网络安全学习Burpsuite
kxltsuperr的专栏
09-16 624
将左侧框中的文本复制粘贴到一开始的对话框中的“Activation Request”框中,会在下面的框中自动产生“Activation Response”,将响应框中的内容再复制粘贴回左侧框的3.中。bp-settings-proxy-import/export CA certificate,导出为bp.der(自定义名称)的文件。以后启动bp,都需要从BurpLoaderKeygen117.jar的Run中启动才可以。先在“受信任的根证书颁发机构”导入bp.der。需要的软件已经放在我的阿里云盘。
burpsuite验证码爆破教程_burpsuite 验证码,2024年最新面试看这个就够了
2401_84240554的博客
04-13 4241
7、第7步就是自己本地使用验证码识别项目进行无限制识别,识别成功率85%左右,但是好在没限制,可以无限使用POST /reg HTTP/1.1 Host: 127.0.0.1:8888 Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like
burpsuite爆破密码(含验证码)
热门推荐
Daniel的博客
10-10 6万+
题目是世安杯线上赛的一个题目 查看源代码,发现最下面有一行提示 密码是位数字,所以想着爆破,但在burpsuite抓包后发现,每次登录,验证码都会改变,而且验证码不可以为空。这时就要去设置macros,具体设置方法 切换到 Burpsuite 的 Project options 选项卡,点击Macros下的add按钮 点击add按钮之后,这时候弹出两个窗口,一个是Macro
burpsuite-实战指南-带目录可编辑.pdf
06-02
编写《Burp Suite实战指南》的目的在于为读者提供一个系统学习和应用Burp Suite的平台,无论是安全新手还是经验丰富的测试者,都能在书中找到有帮助的信息和技巧。作者通过自身经验的积累和对官方文档的解读,加上对...
BurpSuite实战指南
N123455_的博客
12-17 1248
随着时间的流逝,我们的web渗透测试课程也渐渐接近尾声。在这门课程中我学到了不少的知识和技能如学会了信息收集、使用跨站脚本攻击客户端以及使用代理、爬虫和蜘蛛工具,接下来为大家讲解一下BurpSuite实战指南。第一章Burp Suite安装和环境配置Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得。
BurpSuite 实战指南.pdf
03-24
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使...
Burp suite 实战指南 PDF
最新发布
05-03
《Burp Suite 实战指南》是一本全面的web安全渗透测试教程,涵盖了Burp Suite工具的使用方法以及...通过阅读本书,读者将能掌握使用Burp Suite进行各种网络安全测试的技能,并能进一步探索和开发Burp Suite的更多功能。
BurpSuite实战指南》 网络安全从业人员工具指南
10-11
通过《BurpSuite实战指南》的学习,不仅可以掌握Burp Suite的基本操作方法,还能深入了解其高级功能及其在实际项目中的应用技巧。无论是对于网络安全行业的新人还是资深专家来说,该指南都是一份宝贵的参考资料。
BurpSuite 基本使用之暴力破解
白帽渗透笔记的博客
07-10 5686
0x01 之前使用 BurpSuite 进行了简单的请求修改演示,现在我们来使用 BurpSuite 进行账号密码爆破。 0x02 这次对漏洞靶场 Pikachu 进行爆破,这个靶场的第一关便是暴力破解。 0x03 基于表单的暴力破解 浏览器设置好代理,burp 开启拦截,输入账号密码,点击登录,burp 拦截到请求。 右键,选择 Send to Intruder。 然后来到 Intruder 界面,选择 Position,点击 Clear,清除默认的荷载,然后分别依次选
安全测试——利用Burpsuite密码爆破(Intruder入侵)
zouhui1003it的专栏
10-28 3050
本文章仅供学习参考,技术大蛙请绕过。   最近一直在想逛了这么多博客、论坛了,总能收获一堆干货,也从没有给博主个好评什么的,想想着实有些不妥。所以最近就一直想,有时间的时候自己也撒两把小米,就当作是和大家一起互相学习,交流一下吧。(注:本文章仅用于技术交流和学习,请勿用于非法用途。)    暴力破解简介:暴力破解大致可以分为两大类,一类是基于Web表单的,另一类是基于服务协议(如 telnet...
burp suite的使用——爆破帐号密码
weixin_43996007的博客
01-06 1万+
burp suite的使用——暴力破解帐号密码 burp suite的介绍 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个HTTP 的请求消息,并能处理对应的http消息,持...
mutillidae实战(4)-burpsuite爆破登录
zhy的博客
11-10 9971
题外话:更多关于网络安全、信息技术、CTF方面的东西,可以参考我的博客,也许你能找到你想看的? https://www.xiaozzz.xyz/ 一、本日工作总结 使用burpsuite做了几个ctf题目,其中有获取base64解码后post的,也有直接抓包改包的,因为昨天有同学问到在mutillidae中进行爆破登录,所以今天也抓要对其进行一下爆破,做个记录。这里我之前已经安装好了burp...
Burpsuite 模式 使用教程
余笙.'的博客
04-15 1万+
Burpsuite 设置 burpsuite 代理 1、打开浏览器设置(这里我用的是火狐浏览器),在常规设置里,最下方有个设置(下图所示) 2、点击设置出现此页面,选择手动配置代理,设HTTP代理为127.0.0.1 端口号为8080再将此代理用于HTTPS,点击确定即可完成 3、在网站中 输入127.0.0.1:8080下载证书,点击 CA Certificate,开始下载 4、证书下载完成后,点击设置,点击隐私与安全中的查看证书, 选择下载好的证书 导入将两项信任勾选上,...
burpsuite爆破纯数字生成字典bug
Good
01-08 6525
bug 正常这样去选择 5位数的纯数字爆破,没法爆 可以看到payload为0 解决方式 这里是一个burpsuite的bug,你直接这样选择payload无法生成加载出来 点击Hex,再点击回Decimal就好了
Burp Suite Intruder四种密码爆破模式简析
09-23 6545
BurpSuite intruder attack-type 4种爆破模式 Sniper 单参数爆破,多参数时同一个字典按顺序替换各参数,总之初始值有一个参数不变 Battering ram 多参数同时爆破,但用的是同一个字典 Pichfork 多参数同时爆破,但用的是不同的字典 Cluster bamb多参数做笛卡尔乘积模式爆破 1. Sniper(...
burp字典_渗透中爆破字典的生成
weixin_39623273的博客
11-28 1万+
在渗透测试中,爆破在我看来都算是实在很无奈的行为了,一般都是实在找不到其他漏洞了才来开始爆破。下面来聊聊比较常见的爆破场景数字ID比较常见的就是网站手机4位或者6位的验证码的爆破。这类爆破都不用专门生成字典,burp直接怼就可以了。将下面的参数根据验证码的实际情况来设置就可以2.通用字典在爆破后台密码的时候,一般先用top1w,这种通用弱口令字典先去尝试。somd5提供了一些通用...
BurpSuite实战指南》:详尽中文教程带你精通Web安全工具
通过阅读《BurpSuite实战指南》,读者不仅能学习到工具的使用方法,还能了解到安全渗透测试的最佳实践,提升自身的网络安全技能。作者的目标不仅是分享知识,更是希望能填补中文资源的空白,为web安全领域的研究者和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值