BURPSUIT
目前我们在渗透测试中,经常会用到密码爆破这个功能项,常用的密码爆破的工具之一是BURPSUIT 。遇到中文用户名的时候,很多同学不清楚需要转换字符编码的操作。下面我来演示下中文用户名的密码爆破,先贴2段测试用的代码。
<!-- login.html --><html><head><meta charset="utf-8" /><title></title></head><body><form action="login.php" method="post">账号:<input name="uname"/><br />密码:<input name="pwd"/><br /><input type="submit"/></form></body></html>
<!-- login.php --><html><head><meta charset="utf-8" /><title></title></head><body>/*接收用户输入*/$uname = $_POST['uname'];$pwd = $_POST['pwd'];if($uname == "管理员" && $pwd == "123456"){echo '登录成功';}else{echo '账号或密码错误';}</body></html>
登入页面
抓包并发送到Repeater模块
用文本编辑器打开,写入”管理员”三个字
编码字符集->西欧语系->ISO 8859-1
转换后的“管理员”字符
将转换过的字符复制进列表,成功登入
原文链接 https://xz.aliyun.com/t/7853
原文始发于微信公众号(Mo60):Burpsuit中文处理及暴力破解应用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论