BurpSuite：

Kali Linux是一個基于Debian的Linux發(fā)行版，主要用于滲透測試和網(wǎng)絡(luò)安全。它包含了大量的安全工具，例如滲透測試、web程序、漏洞挖掘、防火墻、取證工具、無線網(wǎng)絡(luò)工具等，適合在安全測試、安全研究和網(wǎng)絡(luò)安全培訓(xùn)等領(lǐng)域使用。其中在web程序中包含了BurpSuite這個Web應(yīng)用程序測試工具，可用于抓包、爆破密碼、滲透測試、安全審計等方面。

Burpsuite是一個用Java編寫的Web應(yīng)用程序測試工具，它提供了許多功能。Burp Suite是一套通過攻擊模擬來進(jìn)行Web應(yīng)用程序漏洞掃描、測試、攻擊和漏洞修復(fù)的著名工具。以下是它的用途：

1.檢測和利用Web應(yīng)用程序的漏洞。

2.獲取Web應(yīng)用程序中的敏感信息，如登錄認(rèn)證、信用卡號碼等等。

3.修改網(wǎng)站上的內(nèi)容或參數(shù)，以進(jìn)行測試、攻擊或篡改。

4.追蹤網(wǎng)站的流量和行為，以提高對Web應(yīng)用程序的了解和掌握。

5.執(zhí)行安全測試，以確保應(yīng)用程序的安全性和可靠性

總的來說，Burp Suite是一個功能強(qiáng)大的工具，它能夠幫助您在測試和保護(hù)Web應(yīng)用程序方面做得更好和更安全。

如何使用BurpSuite開始爆破密碼：

下面由VMware WorkStation Pro 15.5，kali linux 2023舉例：

打開VMware啟動虛擬機(jī)：

?首先大體介紹爆破密碼前的準(zhǔn)備工作

1.首先先在kali linux開始界面中搜索BurpSuite或在root界面輸入burpsuite回車直接打開burpsuite工具，該工具為Kali Linux系統(tǒng)自帶的Web程序

2.打開之后一路點(diǎn)擊Next和Start Burp即可

3.進(jìn)入BurpSuite

下面開始詳解如何爆破密碼：

1.第一步：

打開BurpSuite后，點(diǎn)擊上方proxy，之后點(diǎn)擊Intercept is off調(diào)為Intercept is on

2.設(shè)置系統(tǒng)自帶瀏覽器代理

打開瀏覽器，進(jìn)入設(shè)置頁面，在代理設(shè)置中設(shè)置IP地址為127.0.0.1，端口號為8080。這樣就可以將Burp Suite作為代理，指向目標(biāo)網(wǎng)站。

打開Burp Suite工具，在左側(cè)的Proxy選項卡中，設(shè)置監(jiān)聽端口為8080，并勾選Intercept Client Requests和Intercept Server Responses。這樣就可以截獲客戶端請求和服務(wù)器響應(yīng)，并進(jìn)行修改和重放。

下面由Kali Linux的Firefox ESR示范：

設(shè)置如下圖：

設(shè)置成這樣即可

注意：正常上網(wǎng)調(diào)成使用系統(tǒng)代理設(shè)置，進(jìn)入題目鏈接后再調(diào)成手動配置代理！

3.開始爆破密碼

靶場來源：www.qsnctf.com

題目：Checkme06

不想自己搭建靶場的伙伴可以嘗試用這個青少年CTF訓(xùn)練平臺，此題目Checkme06即為弱口令爆破密碼題目，作者就由該題進(jìn)行舉例了：

首先還是進(jìn)入BurpSuite，點(diǎn)擊Proxy，調(diào)為Intercept is on

之后切換至題目鏈接：

點(diǎn)擊“登陸” ，之后就可以發(fā)現(xiàn)BurpSuite成功抓到請求包：

?成功抓包后，即可開始爆破密碼，首先需要知道題目用戶名，通常來講用戶名為admin，題目中的提示也是admin，所以將username設(shè)置為定值為admin。

而后面的passwd則是密碼，設(shè)置為變量。

而爆破的密碼不是隨機(jī)的，需要讓BurpSuite跑字典，字典的內(nèi)容就是需要爆破的密碼，使用題目給用的字典，若沒有字典可以嘗試自己手動使用txt純文本錄入或上網(wǎng)搜索資源。

該題目給出的字典為list.txt，下載備用

下為詳細(xì)舉例教程：

1.點(diǎn)擊Action后再點(diǎn)擊Send to Intruder

?2.點(diǎn)擊上方Intruder，選擇Sniper（密碼爆破）

?3.設(shè)置username和passwd的量：

添加符號注意，在值前后都加上符號是定值，只在前面加符號是變量，爆破針對變量！

POST /index.php HTTP/1.1
Host: 13254e99-fe79-49b7-965e-003d47595ade.challenge.qsnctf.com:8081
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 19
Origin: http://13254e99-fe79-49b7-965e-003d47595ade.challenge.qsnctf.com:8081
Connection: close
Referer: http://13254e99-fe79-49b7-965e-003d47595ade.challenge.qsnctf.com:8081/index.php
Cookie: Hm_lvt_10309f8528ef7f3bdd779aa12ad6dc7e=1691814769,1691815021,1691821527,1691888272; _ga_Y057G8H97X=GS1.1.1691888272.8.1.1691888310.0.0.0; _ga=GA1.1.488074433.1691722186; Hm_lpvt_10309f8528ef7f3bdd779aa12ad6dc7e=1691888306
Upgrade-Insecure-Requests: 1

username=§admin§&password=§123456789

4.點(diǎn)擊上方Payloads開始錄入字典

可以看見已經(jīng)取到字典了：

5.開始爆破

6.等待爆破完成

尋找異常Length數(shù)據(jù)，則該密碼為正確密碼：

?經(jīng)過以上操作就成功爆破出用戶密碼了

結(jié)果為：19861022

需要flag的同學(xué)可以在返回包里看見

這就是我給大家?guī)淼?Kali Linux中BurpSuite工具爆破密碼詳解

該工具具有傷害性，危害性強(qiáng)，切勿用于違法犯罪等途徑

感謝您的瀏覽~~文章來源地址http://www.zghlxwxcb.cn/news/detail-716435.html

到了這里，關(guān)于Kali Linux中BurpSuite工具爆破密碼詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！