Boom 是一款基于无头浏览器的智能 Web 弱口令(后台密码)爆破检测工具
Boom 是一款基于无头浏览器的 Web 弱口令爆破工具。它具有以下特性:
-
自动识别网页是否是登录页面
-
自动识别爆破目标类型:表单/传统认证协议类型(Basic/Digest/NTLM)
-
自动识别登录相关组件并填充点击
-
自动判别登录成功与否
-
支持 URL 批量并发爆破
-
支持单 URL 并发爆破
-
多种爆破模式:密码优先和用户名优先
-
WebHook 消息推送
单个URL爆破:
Boom -t https://www.example.com/login.html --us users.txt --ps ./passwords.txt
URL 批量爆破
Boom --ts targets.txt --us users.txt --ps passwords.txt
配置文件:
# Version: 0.3max_boom_concurrent: 2 # 最大同时爆破的目标个数boom_target_path: "" # 爆破目标字典路径browser_config: # 浏览器配置browser_model: local # 浏览器模式chrome_bin_path: "" # 浏览器可执行文件所在路径chrome_temp_dir: ./chrome_temp # 浏览器临时文件存储目录disable_headless: false # 禁用无头模式disable_images: true # 禁用图片leak_less: true # 实验性参数:防止内存泄露no_sandbox: true # 是否使用沙盒:Linux 以 root 用户运行的情况下设置为 trueproxy: "" # 浏览器代理running_chrome: # 正在运行的浏览器:如果启用, Boom 将会接管正在使用的浏览器enable: falseip: ""port: 0user_agent: "" # 浏览器 UAlogger_config: # 日志配置logger_level: "info" # 默认日志等级logger_time_format: 2006/01/02 15:04:05 # 日志输出时间格式logger_file_name: ./log/boom.log # 日志文件存储路径logger_output_level: [] # 输出到文件中的日志等级logger_file_max_size: 50 # 日志文件最大体积:单位 MBlogger_file_max_backups: 5 # 日志文件最大备份个数:单位 个logger_file_max_age: 30 # 日志文件最大存储时长:单位 天logger_prefix: "" # 日志前缀global_boom_config: # 全局爆破配置boomConCurrent: 2 # 单个爆破目标的爆破并发数clientMaxTimeout: 5 # 客户端最大超时时间boomModel: 2 # 爆破模式:1.用户名优先--用户名跑字典,密码固定;2.密码优先--密码跑字典,用户名固定boomTarget: "" # 爆破的目标userNamePath: "" # 用户名字典路径passwordPath: "" # 密码字典路径publish_config: # publisher_config/webhook configfile: # 文件 publisherenable: true # 是否开启文件存储format: text # 结果存储格式:text/jsonfilePath: ./res.txt # 存储文件路径:.txt/.json
项目地址:https://github.com/Fly-Playgroud/Boom
原文始发于微信公众号(进击的HACK):Boom 是一款基于无头浏览器的智能 Web 弱口令(后台密码)爆破\检测工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论