本文主要是介绍【渗透测试】如何使用burpsuite对特殊密码进行爆破,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
爆破是渗透测试中必不可少的一部分,对于没有太大价值可利用的漏洞或是业务只有一个登陆页面时,爆破更是我们的最合适的选择。那么在爆破时,抛去目标系统对爆破频率的限制,如果遇到较为复杂的密码,该如何顺利进行密码破解?
以tomcat为例,首先大家可以先想一想,tomcat后台在提交认证信息时,数据是以何种方式传输,是明文嘛?还是某种加密?还是编码?具体的认证请求包如下所示:
这边的Authorization字段就是用来做身份认证的,使用的是HTTP Basic认证,用户认证信息就是后面那一串,把他复制到BurpSuite的Decoder模块,使用Base64解码即可获取用户认证信息明文。那么之前的问题也有答案了,tomcat使用base64编码进行认证信息传输,使用的是HTTP Basic认证方式。
这篇关于【渗透测试】如何使用burpsuite对特殊密码进行爆破的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
