一、Burpsuite技巧之MD5加密密碼爆破

現(xiàn)在有很多后臺(tái)都不再是明文傳輸，改成了各種各樣的加密方式。

今天就拿MD5加密方式做一個(gè)演示，舉一反三，希望對(duì)新手有用。

如圖，MD5加密了密碼，遇到這種后臺(tái)，我們只需要稍微設(shè)置下

Burpsuite就可以進(jìn)行MD5加密密碼爆破了哦

首先添加自己的字典，然后在下面添加負(fù)載處理，選擇對(duì)應(yīng)的加密方式即可。

效果如下:

二、burpsuit爆破帶驗(yàn)證碼的后臺(tái)密碼

說起對(duì)存在驗(yàn)證碼的登錄表單進(jìn)行爆破,大部分人都會(huì)想到PKav HTTP Fuzzer,這款工具在前些年確實(shí)給我們帶來了不少便利。

反觀burp一直沒有一個(gè)高度自定義通殺大部分圖片驗(yàn)證碼的識(shí)別方案，于是抽了點(diǎn)閑暇的時(shí)間開發(fā)了captcha-kille(https://github.com/c0ny1/captcha-killer),希望burp也能用上各種好用的識(shí)別碼技術(shù)。

其設(shè)計(jì)理念是只專注做好對(duì)各種驗(yàn)證碼識(shí)別技術(shù)接口的調(diào)用！說具體點(diǎn)就是burp通過同一個(gè)插件，就可以適配各種驗(yàn)證碼識(shí)別接口，無需重復(fù)編寫調(diào)用代碼。今天不談編碼層面如何設(shè)計(jì)，感興趣的可以去github看源碼。此處只通過使用步驟來說明設(shè)計(jì)的細(xì)節(jié)。

去作者 github 下載 captcha-killer.jar 擴(kuò)展,然后加載到burp中,各種調(diào)試成功試別爆破后,說說感謝把,

優(yōu)點(diǎn):基于 burpsite 開發(fā)的小插件,這個(gè)插件本身是不能試別驗(yàn)證碼的,但是可以添加接口,這就非常方便使用了,直接百度搜索下一些收費(fèi)或者免費(fèi)的解碼平臺(tái),然后配置進(jìn)去即可,方便簡(jiǎn)單強(qiáng)大.

缺點(diǎn):不知道是BUG還是什么情況,我總是遇到修改后的包的http頭丟失字母,比如域名xx.com 丟失最后的m 經(jīng)過各種換接口調(diào)試,終于解決了.

發(fā)兩張圖:

?

總結(jié)

以上是生活随笔為你收集整理的Burpsuite技巧之MD5加密密码爆破、带验证码爆破的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。