介绍

weakpass_exploit，网站弱口令爆破小脚本

优点：

• 绕过图形验证码

• 绕过前端数据加密

不足：

• ddddocr识别不够精确

• 单线程

注: 本项目所有文件仅供学习和研究使用,请勿使用项目中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

更新

2023-2-27 更新了说明文档，修改了部分代码

2023-2-3 优化了登录判断逻辑，现在会根据登陆成功或失败后跳转的页面进行检索，匹配关键字判断是否登录成功

安装

python 3.7+

ddddocr

selenium

chromedriver.exe

通过这个链接查看支持的版本：https://chromedriver.storage.googleapis.com/LATEST_RELEASE通过这个链接下载需要的版本：https://chromedriver.chromium.org/downloads

配置
在conf.json中，参照以下内容进行配置，以pikachu靶场为例
复制页面元素的XPath填入到conf.json中


验证码错误时会提示


用户名密码错误时会提示


driver_path为chromedriver的路径




{  "url": "http://192.168.86.186/pikachu-master/vul/burteforce/bf_server.php",  "driver_path": "D:/python3/chromedriver.exe",  "user_xpath": "//*[@id="main-container"]/div[2]/div/div[2]/div/div/form/label[1]/span/input",  "pass_xpath": "//*[@id="main-container"]/div[2]/div/div[2]/div/div/form/label[2]/span/input",  "orc_input_xpath": "//*[@id="main-container"]/div[2]/div/div[2]/div/div/form/label[3]/span/input",  "orc_xpath": "//*[@id="main-container"]/div[2]/div/div[2]/div/div/form/label[4]/img",  "login_button_xpath": "//*[@id="main-container"]/div[2]/div/div[2]/div/div/form/div[2]/label/input",  "orc_res_xpath": "//*[@id="main-container"]/div[2]/div/div[2]/div/div/p",  "regex_verify_res": "验证码输入错误哦",  "regex_login_fail_res": "username or password is not exists"}

使用
开始使用




Usage: usage weakpass_exploit.py -u <username dict> -p <password dict> -c <config file>
Options:  -h, --help        show this help message and exit  -u USERNAME_DICT  Enter the username dict eg:user.txt  -p PASSWORD_DICT  Enter the password dict eg:pass.txt  -c CONFIG_FILE    Enter the config file eg:conf.json  -e                Use headless model eg: -e




下载地址

1、网盘链接：https://pan.quark.cn/s/43717228f698
2、https://github.com/yxdnr/weakpass_exploit



原文始发于微信公众号（菜鸟学安全）：网站弱口令爆破小脚本