免责声明:本公众号发布的文章均为作者根据互联网资源总结的学习笔记,文末已注明引用文章出处,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
一.漏洞背景
二.测试方法
工具地址:https://github.com/gubeihc/blasting
-
优点1:针对网站后台用户名密码加密无需分析js即可爆破请求。 -
优点2:采用通用特征方式识别用户名和密码进行提交请求。 -
优点3:通过内置大佬ddddocr库可以进行存在验证码后台爆破。 -
优点4:通过监听请求数据可以做到验证码错误重试功能。 -
优点5:可以对大量不同登录系统进行批量爆破测试并截图。
python pip install -r .requirements.txt //安装依赖python -m playwright install //安装浏览器python .BLAST.py //启动工具
-
爆破模式包含:自动模式、手动模式(xpath匹配模式)、cdp断点模式 -
爆破手段包含:sniper:狙击手、ram:攻城锤、fork:草叉模式、bomb:集束炸弹
-
自动模式
根据响应包长度大小来进行判断是否成功-
手动模式
三.总结
原文始发于微信公众号(Sec Online):渗透实战 | 弱口令漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论