Burp Suite是一个Web程序运行集成化进攻服务平台,它包括了一系列burp专用工具,这种专用工具中间有很多插口能够 相互之间通讯,那样设计方案的目地是为了更好地推动和提升全部进攻的高效率。

强烈推荐免费下载:软件名称:burpsuite pro v1.4.07 key注册版网站攻击检测工具手机软件尺寸:7.3MB更新:2012-12-17点击下载

软件环境:软件名称:JAVA软件环境(Java 7 Update 21) 官方网最新版本(32 64位)手机软件尺寸:32MB更新:2013-05-06点击下载

Burpsuite必须JAVA适用,请先安裝JAVA自然环境

1.应用领域

在网站渗透测试全过程中,总体目标有可能早已被黑客攻击过,在扫描仪全过程中会发觉侵略者留有的Webshell等,但Webshell一般都是有密码,如图所示1所显示,假如可以获得密码,那麼就能成功进到总体目标系统软件,Webshell有一句话的也是有马来西亚型的,本例情景为马来西亚。

怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程 破解密码 burpsuite WebShell 加密解密  第1张

webshell马来西亚

2. Burpsuite安裝与设置

Proxy(代理)——拦截HTTP/S的代理网络服务器,做为一个在电脑浏览器和总体目标程序运行中间的中介人,容许你拦截,查询,改动在2个方位上的原始记录流。

(1)设置代理网络服务器

Burpsuite运作必须JAVA适用,请先安裝JAVA自然环境,安裝Java自然环境后,浏览器打开开展设置,对IE点击“设置”-“Internet选择项”-“联接”-“局域网络设置”-“代理网络服务器”,设置详细地址为“127.0.0.1”,端口号为“8080”。对Chrome浏览器则点击“设置”-“高級设置”-“互联网”-“变更代理网络服务器设置”开展如图所示IE设置。

怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程 破解密码 burpsuite WebShell 加密解密  第2张

设置IE电脑浏览器

(2)查询Burpsuite代理情况

运作Burpsuite,点击“Proxy”-“Options”,如图所示3所显示,代理端口号是8080,情况为已经运作,电脑浏览器设置代理后,就可以取得成功的爬取电脑浏览器数据信息。

怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程 破解密码 burpsuite WebShell 加密解密  第3张

查询Burpsuite设置情况

(3)拦截设置

在“Proxy”中点击“Intercept”,点击“Intercept is on”设置拦截为运作,再度点击“Intercept is off”则表明拦截关掉。点击“Forward”表明海关放行,点击“Drop”表明丢掉。

怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程 破解密码 burpsuite WebShell 加密解密  第4张

拦截设置

3.破译Webshell密码

(1)爬取密码信息内容

开启总体目标Webshell详细地址http://127.0.0.1/90sec.php,先随便键入一个密码。递交后在burpsuite中点击“Forward”对拦截开展方位,在burpsuite中抓来到2个数据文件,第一个是电脑浏览器浏览SHELL所传出的GET要求包。第二个是键入密码以后推送的POST要求,如图所示5所显示。选定“Method”为post的纪录,右键单击在弹出来的菜单中选择“Send to Intruder”,把第二个POST要求包发送至“侵略者”(intruder)中开展破译,随后点击“Intruder”开展设置。

怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程 破解密码 burpsuite WebShell 加密解密  第5张

将包发送至Intruder中

(2)设置密码主要参数

在“position”这一莱单页挑选“attack type”(作用种类)为默认设置sniper就可以,随后选定Cookie中下边单位, 点一下右侧第二个clear$按键,除掉$标记,随后点击“Add$”按键提升破译密码主要参数,如图所示6所显示,必须将密码前边的值除掉,另外必须消除Cookie后边ASPSESSIONIDCATBRDTD=EMPJNHNALLEHBHIKGGFGENCM的$标记。

怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程 破解密码 burpsuite WebShell 加密解密  第6张

设置破译密码主要参数 上一页12 下一页 阅读全文