burpsuite破解webshell密码+国内黑阔shell密码收集
burpsuite破解webshell密码+国内黑阔shell密码收集
burpsuite_pro_v1.3.03 下载:http://h4ck3r.nbst.org/tool/burpsuite_pro_v1.3.03.zip
Burpsuite需要JAVA支持,请先安装JAVA环境。
首先我们先打开Burpsuite
把拦截(intercept)功能关闭,因为我们这里不需要进行数据拦截
然后转到选项分页,我们可以看到代理的具体信息,如图,端口是8080,状态为正在运行。
之后打开我们的浏览器,对应的设置一下代理,这样才能成功的抓取浏览器数据。
现在我们打开我们的目标shell,先随意输入一个密码。查到错误信息,
我们看见类似:
对不起,您输入的密码有误,系统不能让你登陆!
这样的错误,记录下来.
然后我们返回burpsuite可以查看到抓到了两个数据包
第一个是浏览器访问SHELL所发出的GET请求包。第二个是我们输入密码之后发送的POST请求。
然后,我们把第二个POST请求包发送到"入侵者"(intruder)中进行破解。因为我们输入密码进行验证本身就是一个表单的POST请求。所以千万不要选错GET。如图:
之后我们就会跳转到侵入者功能菜单页面,
我们在position(位置)这个菜单页选择attack type(功能类型)为默认sniper即可。
然后,选中COOKIES中后半部分(深色)。 点击右边第二个clear$按钮,去掉$符号(非$,不知道这个符号怎么打,哈哈)。
然后跳转到payloads(负荷)功能标签页面。
这里是密码字典的一些配置。我们点击LOAD从一个文件从导入密码(字典我会在本文后面提供下载地址)
如图,我已经导入了我的密码字典,之后再跳转到最后一个选项标签菜单页面。这里是对一些错误信息过滤的配置。从刚才我们随意输入密码返回的错误信息中,随意输入部分即可。点击ADD添加
之后就算配置完成了。现在就可以开始攻击了!
点击菜单上面的侵入者--开始攻击即可。之后软件会弹出响应的页面。
这时软件已经使用我们设置的密码去一个个的发送请求。然后我们看STATUS返回状态栏,一般为302的代表成功。200是返回正常。因为我们的 SHELL即使输入错误密码。也不会出现404 500之类的信息。也是200。如图。当发送的请求密码为80sec的时候返回信息会302.
这里就顺便说下吧
200 返回正常,即服务器接受了我们的请求并返回了响应的结果,通常说明这个页面是存在的,发送的请求是允许的。
302 返回错误,即服务器接受了我们的请求,但是需要更多操作来获取返回结果。比如跳转到新的页面,因为我们都知道shell密码输入后会跳转到响应的功能页 面。所以就产生了这样的错误,就比如我们通常遇到的 http://www.nbst.org/1.asp/dama.asp;.jpg 这种类型的大马,虽然能够成功执行并拿到shell,但是当我们输入密码后,会跳转到http://www.nbst.org /dama.asp;.jpg 之后便会产生404不存在错误。遇到这种情况通常是采用小马解决。
最后附上一份国内黑阔常用shell密码。是我从网上淘到的,然后去掉说明,自己增删改做成了字典格式,比网上那个多一些。
584521 nohack 45189946 hacksb hackersb heixiaozi 360 sb360 360sb yushiwuzheng wuzheng spider angel 4ngel yyswxws lcx nc hackqingshu qingshu qingshu$ sz sunzi shunzi 123!@# !@#123 123654 123654789 123654789! 123654789. aspadmin phpadmin jspadmin aspxadmin noadmin cms iamnotadmin fuckit fuckhack fuckhacker F19ht f19ht fight hkmjj chinared ouou hake hakecc wwwhakecc 520hack hack520 r4sky ghost baidu yy daoqq daohao sb youaresb caonimadebi caonimade worinima wocaonima caonimei lunnijie whatweb baidusb baiduadmin chenxue cnot xxoxx rinima hkk007 chengnuo wrsk wrsky 54321 yuemo 521 ******* 4lert yuemo maek dreamh Shell xxxxx shell 10011C120105101 fclshark 19880118 376186027 654321 535039 000 123 windows darkst jcksyes jcksyes jinjin 12345 sq19880602 jtk2352 sq19880602 kill chengnuo 45189946 123321 hacker hack haode chuang aiezu 981246 et520 12 lx lengxue 20080808 aoyunhui fucker tiger tig tag iloveshell loveshell yrpx air hkk007 wrsk rinima caonima ceshi2009 kissy 520 52013 5201314 3452510 1314520 rfkl username 847381979 jing winner 4816535 shaomo zhack mama mama520 fuckyou Fuckyou FuckYou lengfeng lengfengsk rensheng rs fuck 123go 1 xiaowu Baike admin888 honker hongker liner lin xiaoyi xiaoe 1 login 888999 Evav 13572468 Sa sa sasa dangdang webshell lovehack7758 rfkl 123 darkst asp hkmm 133135136 80sec G.xp gxp 1992724 satan Satan yong fst f.s.t F.S.T noid sadness caodan 96315001 admin axiao 847381979 rfkl yuemo 12 bzxyd tonecan bzxyd 5201314 3est sin 654321 ghost C cc evil evilhk evilhack evilhacker yong ying webadmin webadmin2 HqzX tx tengxin tengxunsb danteng rusuan dantong youguest cmdshell Webshell WebShell sh3ll h4ck h4ck3r ufo ufohack jiaozu huaidan jiaozhu lover love daoker daokers daoke
burpsuite破解webshell密码+国内黑阔shell密码收集相关推荐
- XXOO 传说90黑阔论坛
不说什么了,能射进去的人太多了,我就负责转 BY:ahuyangok 目标站:www.hacker90.com 运气有点好,随便点一个,就那第二个,就日下了,直接命中 很简单根据图片找到了eweb的上 ...
- 黑阔主流攻防之不合理的cookie验证方式
最近博主没事干中(ZIZUOZISHOU),于是拿起某校的习题研究一番,名字很6,叫做黑阔主流攻防习题 虚拟机环境经过一番折腾,配置好后,打开目标地址:192.168.5.155 如图所示 这里看出题 ...
- 花了 4 天,破解 UNIX 联合创始人 39 年前的密码!
作者 | 伍杏玲 出品 | CSDN(ID:CSDNnews) 互联网时代,密码是我们使用网站的一套安全防线.但很多人对密码设置不上心,怎么简单怎么来: 密码服务公司 SplashData 曾根据 2 ...
- 破解webshell方法~
这几天检测学校网站,后台密码都是默认,可是数据库备份路径不可修改啊,一句话什么的完全没有用武之地.用明小子扫扫目录吧,结果发现了前辈的webshell: 本来打算借助大牛的webshell直接进入数据 ...
- vue.js 密码加密_破解Windows、Linux和Mac操作系统密码的理论研究
本文介绍了Windows.Linux和Mac等操作系统下密码认证机制,并在此基础上,分别介绍了Windows系统密码破解.Linux系统密码破解.MacOSX登录屏保密码破解.3种操作系统下破解系统密 ...
- 如何破解Red Hat Enterprise 4的root密码(救援有密码)
如何破解Red Hat Enterprise 4的root密码(救援有密码) 首先道歉,好久没有更新了,这段时间发生了很多事情,所以请大家原谅.无意义的话就不说了. 网络管理员 ...
- 【AD】破解WindowsServer2008R2 AD域控目录还原模式密码及域管理员账号密码
(本文部分内容来源于网络,假设没有备用域管理员.) 一:知道域管理员密码,忘记目录模式还原密码 目录模式还原密码和之前的系统一样,保存在c:\windows\system32\config\sam内. ...
- shell 密码输入不显示,Shell输出内容不显示密码,Shell实现有密码自动登录sshpass 应用实践...
在很多实践项目中,我们经常会通过SSH来进行认证,如通过SSH拷贝文件,虽然我们可以使用公钥与私钥实现ssh 无密码登录,在不同的服务器上又需要配对相应的密钥,切换用户麻烦等问题,在一些需要交互但会涉 ...
- 骚操作!昨晚停网,我写了一段Python代码破解了隔壁小姐姐的wifi密码...
点击上方蓝色小字,关注"小詹学Python" 重磅干货,第一时间送达 本文来源于小黄鸭编程社区 昨晚,家里停网了,对于码农而言,停网了,这能忍?打电话给修网络的,说太晚了,要第二天 ...
最新文章
- ueditor上传图片回调_(常见解决方法)UEditor报错“后端配置项没有正常加载,上传插件不能正常使用”...
- 机器学习实战读书笔记--logistic回归
- Knockoutjs官网翻译系列(一)
- python程序代码_python基础二
- HashMap hash 原理分析
- php随机生成微信昵称(一),可配合头像一起生成虚拟头像
- 利用javascript动态生成表格及注释
- 设置谷歌浏览器黑色主题
- 要闻君说:华为“发飙”了;快手抛出了1000+社招岗位;迅雷2018年度财报:云连续三年上涨;定论!小米成立AIoT战略委员会...
- 橙色——网页效果图设计之色彩索引
- bugly怎么读_腾讯Bugly学习了解
- 方程中变量不可分离的偏微分方程的求解
- 小白兔写话_小白兔写话二年级作文
- PS制作科幻特效的金色立体文字
- unity滑动屏幕旋转物体
- java 兔子问题_Java算法之“兔子问题”
- 软件架构---微核架构
- JAVA续本_Java业务校验工具实现(续集)
- linux操作系统为SCSI硬盘分区,Linux中硬盘分区的表示方法
- 很多人知道区块链传递价值,却不知道价值是什么