| 声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
工具介绍
这个工具主要是为了方便在面对web后台进行爆破测试的时候,用户名和密码是加密的情况下,如果单纯分析js来进行爆破测试时间成本会比较多。
爆破模式:完全模仿Burp Site
sniper:狙击手ram:攻城锤fork:草叉模式bomb:集束炸弹jietu:截图(截图模式 采用的也是 sniper:狙击手)
针对网站后台用户名密码加密无需分析js即可爆破请求。采用通用特征方式识别用户名和密码进行提交请求。通过内置大佬ddddocr库可以进行存在验证码后台爆破。通过监听请求数据可以做到验证码错误重试功能。可以对大量不同登录系统进行批量爆破测试并截图。
源码使用需要安装浏览器
python3 -m playwright installhttps://pan.baidu.com/s/1MVjXVZFB_mPND0SYZRCnIw?pwd=ch3n
自动模式针对标准后台登录网站,输入账户密码字典就可以爆破
手动模式的话就需要填入用户、密码,登录按钮如果有验证码就填入验证码的xpath 路径
https://github.com/gubeihc/blasting
原文始发于微信公众号(Hack分享吧):Web后台JS加密用户/密码爆破工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论