超级会员免费看
本文详细介绍了如何利用BurpSuite的代理和入侵功能来破解Webshell密码。首先,设置了BurpSuite的代理服务器,然后通过拦截和发送请求到Intruder模块进行密码参数设置和字典加载。接着,设置了错误信息过滤,以便识别密码错误。最后,通过观察响应状态和长度判断,成功破解了Webshell密码。
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。BurpSuite需要JAVA支持,请先安装JAVA环境。在kali及PentestBox默认集成了BurpSuite,BurpSuite是一款强大的渗透辅助测试工具,在本例中主要介绍如何利用其“入侵”功能来破解别人的webshell,当然也可以用BurpSuite来扫描后台登陆口令,其原理和方法类似,仅仅是设置密码字段为变量即可。
21.1应用场景
在渗透测试过程中,目标有可能已经被黑客入侵过,在扫描过程中会发现入侵者留下的Webshell等,但Webshell一般都有密码,如图1所示,如果能够获取密码,那么就能顺利进入目标系统,Webshell有一句话的也有大马型的,本例场景为大马。
图1webshell大马
21.2Burpsuite安装与设置
Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
(1)设置代理服务器
Burpsuite运行需要JAVA支持,请先安装JAVA环境,安装Java环境后,打开浏览器进行设置,对IE单击“设置”-“Internet选项”-“连接”-“局域网设置”-“代理服务器”,设置地址为“127.0.0
订阅专栏 解锁全文
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
