BURPSUIT
目前我们在渗透测试中,经常会用到密码爆破这个功能项,常用的密码爆破的工具之一是BURPSUIT 。遇到中文用户名的时候,很多同学不清楚需要转换字符编码的操作。下面我来演示下中文用户名的密码爆破,先贴2段测试用的代码。
<!-- login.html --> <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title></title> </head> <body> <form action="login.php" method="post"> 账号:<input name="uname"/><br /> 密码:<input name="pwd"/><br /> <input type="submit"/> </form> </body> </html>
<!-- login.php --> <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title></title> </head> <body> <?php /*接收用户输入*/ $uname = $_POST['uname']; $pwd = $_POST['pwd']; if($uname == "管理员" && $pwd == "123456"){ echo '登录成功'; } else{ echo '账号或密码错误'; } ?> </body> </html>
登录页面
抓包并发送到intruder模块
选择Pitchfork
新建一个html文件
用文本编辑器打开,写入”管理员”三个字
转换字符
转换后的“管理员”字符
将转换过的字符复制进列表
匹配成功!
文章来源: http://xz.aliyun.com/t/7853
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh