burpsuite破解webshell密码+国内黑阔shell密码收集

burpsuite_pro_v1.3.03 下载:http://h4ck3r.nbst.org/tool/burpsuite_pro_v1.3.03.zip

Burpsuite需要JAVA支持,请先安装JAVA环境。

首先我们先打开Burpsuite

 
把拦截(intercept)功能关闭,因为我们这里不需要进行数据拦截

然后转到选项分页,我们可以看到代理的具体信息,如图,端口是8080,状态为正在运行。

之后打开我们的浏览器,对应的设置一下代理,这样才能成功的抓取浏览器数据。

现在我们打开我们的目标shell,先随意输入一个密码。查到错误信息,

我们看见类似:

对不起,您输入的密码有误,系统不能让你登陆!

这样的错误,记录下来.

然后我们返回burpsuite可以查看到抓到了两个数据包

第一个是浏览器访问SHELL所发出的GET请求包。第二个是我们输入密码之后发送的POST请求。

然后,我们把第二个POST请求包发送到"入侵者"(intruder)中进行破解。因为我们输入密码进行验证本身就是一个表单的POST请求。所以千万不要选错GET。如图:

之后我们就会跳转到侵入者功能菜单页面,

我们在position(位置)这个菜单页选择attack type(功能类型)为默认sniper即可。

然后,选中COOKIES中后半部分(深色)。 点击右边第二个clear$按钮,去掉$符号(非$,不知道这个符号怎么打,哈哈)。

然后跳转到payloads(负荷)功能标签页面。

这里是密码字典的一些配置。我们点击LOAD从一个文件从导入密码(字典我会在本文后面提供下载地址)

如图,我已经导入了我的密码字典,之后再跳转到最后一个选项标签菜单页面。这里是对一些错误信息过滤的配置。从刚才我们随意输入密码返回的错误信息中,随意输入部分即可。点击ADD添加

之后就算配置完成了。现在就可以开始攻击了!

点击菜单上面的侵入者--开始攻击即可。之后软件会弹出响应的页面。

这时软件已经使用我们设置的密码去一个个的发送请求。然后我们看STATUS返回状态栏,一般为302的代表成功。200是返回正常。因为我们的 SHELL即使输入错误密码。也不会出现404 500之类的信息。也是200。如图。当发送的请求密码为80sec的时候返回信息会302.

这里就顺便说下吧

200 返回正常,即服务器接受了我们的请求并返回了响应的结果,通常说明这个页面是存在的,发送的请求是允许的。

302 返回错误,即服务器接受了我们的请求,但是需要更多操作来获取返回结果。比如跳转到新的页面,因为我们都知道shell密码输入后会跳转到响应的功能页 面。所以就产生了这样的错误,就比如我们通常遇到的 http://www.nbst.org/1.asp/dama.asp;.jpg 这种类型的大马,虽然能够成功执行并拿到shell,但是当我们输入密码后,会跳转到http://www.nbst.org /dama.asp;.jpg 之后便会产生404不存在错误。遇到这种情况通常是采用小马解决。

最后附上一份国内黑阔常用shell密码。是我从网上淘到的,然后去掉说明,自己增删改做成了字典格式,比网上那个多一些。

584521
nohack
45189946
hacksb
hackersb
heixiaozi
360
sb360
360sb
yushiwuzheng
wuzheng
spider
angel
4ngel
yyswxws
lcx
nc
hackqingshu
qingshu
qingshu$
sz
sunzi
shunzi
123!@#
!@#123
123654
123654789
123654789!
123654789.
aspadmin
phpadmin
jspadmin
aspxadmin
noadmin
cms
iamnotadmin
fuckit
fuckhack
fuckhacker
F19ht
f19ht
fight
hkmjj
chinared
ouou
hake
hakecc
wwwhakecc
520hack
hack520
r4sky
ghost
baidu
yy
daoqq
daohao
sb
youaresb
caonimadebi
caonimade
worinima
wocaonima
caonimei
lunnijie
whatweb
baidusb
baiduadmin
chenxue
cnot
xxoxx
rinima
hkk007
chengnuo
wrsk
wrsky
54321
yuemo
521
*******
4lert
yuemo
maek
dreamh
Shell
xxxxx
shell
10011C120105101
fclshark
19880118
376186027
654321
535039
000
123
windows
darkst
jcksyes
jcksyes
jinjin
12345
sq19880602
jtk2352
sq19880602
kill
chengnuo
45189946
123321
hacker
hack
haode
chuang
aiezu
981246
et520
12
lx
lengxue
20080808
aoyunhui
fucker
tiger
tig
tag
iloveshell
loveshell
yrpx
air
hkk007
wrsk
rinima
caonima
ceshi2009
kissy
520
52013
5201314
3452510
1314520
rfkl
username
847381979
jing
winner
4816535
shaomo
zhack
mama
mama520
fuckyou
Fuckyou
FuckYou
lengfeng
lengfengsk
rensheng
rs
fuck
123go
1
xiaowu
Baike
admin888
honker
hongker
liner
lin
xiaoyi
xiaoe
1
login
888999
Evav
13572468
Sa
sa
sasa
dangdang
webshell
lovehack7758
rfkl
123
darkst
asp
hkmm
133135136
80sec
G.xp
gxp
1992724
satan
Satan
yong
fst
f.s.t
F.S.T
noid
sadness
caodan
96315001
admin
axiao
847381979
rfkl
yuemo
12
bzxyd
tonecan
bzxyd
5201314
3est
sin
654321
ghost
C
cc
evil
evilhk
evilhack
evilhacker
yong
ying
webadmin
webadmin2
HqzX
tx
tengxin
tengxunsb
danteng
rusuan
dantong
youguest
cmdshell
Webshell
WebShell
sh3ll
h4ck
h4ck3r
ufo
ufohack
jiaozu
huaidan
jiaozhu
lover
love
daoker
daokers
daoke

burpsuite破解webshell密码+国内黑阔shell密码收集相关推荐

  1. XXOO 传说90黑阔论坛

    不说什么了,能射进去的人太多了,我就负责转 BY:ahuyangok 目标站:www.hacker90.com 运气有点好,随便点一个,就那第二个,就日下了,直接命中 很简单根据图片找到了eweb的上 ...

  2. 黑阔主流攻防之不合理的cookie验证方式

    最近博主没事干中(ZIZUOZISHOU),于是拿起某校的习题研究一番,名字很6,叫做黑阔主流攻防习题 虚拟机环境经过一番折腾,配置好后,打开目标地址:192.168.5.155 如图所示 这里看出题 ...

  3. 花了 4 天,破解 UNIX 联合创始人 39 年前的密码!

    作者 | 伍杏玲 出品 | CSDN(ID:CSDNnews) 互联网时代,密码是我们使用网站的一套安全防线.但很多人对密码设置不上心,怎么简单怎么来: 密码服务公司 SplashData 曾根据 2 ...

  4. 破解webshell方法~

    这几天检测学校网站,后台密码都是默认,可是数据库备份路径不可修改啊,一句话什么的完全没有用武之地.用明小子扫扫目录吧,结果发现了前辈的webshell: 本来打算借助大牛的webshell直接进入数据 ...

  5. vue.js 密码加密_破解Windows、Linux和Mac操作系统密码的理论研究

    本文介绍了Windows.Linux和Mac等操作系统下密码认证机制,并在此基础上,分别介绍了Windows系统密码破解.Linux系统密码破解.MacOSX登录屏保密码破解.3种操作系统下破解系统密 ...

  6. 如何破解Red Hat Enterprise 4的root密码(救援有密码)

    如何破解Red Hat Enterprise 4的root密码(救援有密码)       首先道歉,好久没有更新了,这段时间发生了很多事情,所以请大家原谅.无意义的话就不说了.       网络管理员 ...

  7. 【AD】破解WindowsServer2008R2 AD域控目录还原模式密码及域管理员账号密码

    (本文部分内容来源于网络,假设没有备用域管理员.) 一:知道域管理员密码,忘记目录模式还原密码 目录模式还原密码和之前的系统一样,保存在c:\windows\system32\config\sam内. ...

  8. shell 密码输入不显示,Shell输出内容不显示密码,Shell实现有密码自动登录sshpass 应用实践...

    在很多实践项目中,我们经常会通过SSH来进行认证,如通过SSH拷贝文件,虽然我们可以使用公钥与私钥实现ssh 无密码登录,在不同的服务器上又需要配对相应的密钥,切换用户麻烦等问题,在一些需要交互但会涉 ...

  9. 骚操作!昨晚停网,我写了一段Python代码破解了隔壁小姐姐的wifi密码...

    点击上方蓝色小字,关注"小詹学Python" 重磅干货,第一时间送达 本文来源于小黄鸭编程社区 昨晚,家里停网了,对于码农而言,停网了,这能忍?打电话给修网络的,说太晚了,要第二天 ...

最新文章

  1. ueditor上传图片回调_(常见解决方法)UEditor报错“后端配置项没有正常加载,上传插件不能正常使用”...
  2. 机器学习实战读书笔记--logistic回归
  3. Knockoutjs官网翻译系列(一)
  4. python程序代码_python基础二
  5. HashMap hash 原理分析
  6. php随机生成微信昵称(一),可配合头像一起生成虚拟头像
  7. 利用javascript动态生成表格及注释
  8. 设置谷歌浏览器黑色主题
  9. 要闻君说:华为“发飙”了;快手抛出了1000+社招岗位;迅雷2018年度财报:云连续三年上涨;定论!小米成立AIoT战略委员会...
  10. 橙色——网页效果图设计之色彩索引
  11. bugly怎么读_腾讯Bugly学习了解
  12. 方程中变量不可分离的偏微分方程的求解
  13. 小白兔写话_小白兔写话二年级作文
  14. PS制作科幻特效的金色立体文字
  15. unity滑动屏幕旋转物体
  16. java 兔子问题_Java算法之“兔子问题”
  17. 软件架构---微核架构
  18. JAVA续本_Java业务校验工具实现(续集)
  19. linux操作系统为SCSI硬盘分区,Linux中硬盘分区的表示方法
  20. 很多人知道区块链传递价值,却不知道价值是什么

热门文章

  1. 常用的SQL语句大全
  2. 移除挖矿程序过程记录
  3. 原生JS利用XMLHttpRequest实现Get和Post请求
  4. 解决“无法完成操作,因为文件包含病毒或潜在的垃圾软件”
  5. setTimeout()和setInterval()的区别和转换
  6. 【项目管理冲刺-必会概念】
  7. 像素和分辨率的关系 完全剖析
  8. iocomp ActiveX/VCL各版本大比拼之Crack
  9. 大O表示法初学者指南
  10. 百度地图SDK for Android【离线地图】