用wvs进行表单破解
基于wvs下的表单破解.---- http fuzz的使用
挫B文章,大牛绕过。简单得步骤,凑个字就变成文章了。
看很多人都用burpsuit。但是需要装java环境啊有木有。很蛋疼的其实,有木有!
wvs本身就很好用。
手册如下
http://www.acunetix.com/blog/docs/manual-crawling-http-sniffer/
一、Wvs是什么?
WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
我们利用它可以有效地扫描web系统中的多种漏洞。
二、怎么基于wvs下进行表单破解?
1.首先设置在浏览器连接设置需要中转的代理端口,这样才能让http sniff读取数据。
点击configuration 在弹出下拉框中打开application settings 在打开http sniffer。
右侧为自定代理端口。
2.点击左侧的http sniff选项,打开star。
这时候http sniffer就开始为我们工作了。
3. 在捕获到的数据中单击右键,send to http fuzzer。。。。。
4.这时,数据包已经很轻松的躺在http fuzzer里面了。。。
我们要做的无非就是选择破解方式了。
5.右侧下拉框add generator 增加规则,这里分别对应的是
数字暴力破解(number generator)
字符破解(character genertor)
字典破解(file generator)
字符串暴力破解(character string genertor)
随机字符串暴力破解(random string genertor)
特殊字符(character genertor)
拿fack的hack game 做测试
我们选择字典破解,
在filename 处选择字典,这时在要跑密码的地方插入设定好的规则。
点击star。我们就开始跑数据囖。
当然,基于表单破解的工具还是蛮多的。 :D
三、结尾
技巧需要不断积累
源码需要不断思考
渗透需要不同的思路.
善于表达和分享才可以携手走向更遥远的未来. :D
求交流啊,by zh
挫B文章,大牛绕过。简单得步骤,凑个字就变成文章了。
看很多人都用burpsuit。但是需要装java环境啊有木有。很蛋疼的其实,有木有!
wvs本身就很好用。
手册如下
http://www.acunetix.com/blog/docs/manual-crawling-http-sniffer/
一、Wvs是什么?
WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
我们利用它可以有效地扫描web系统中的多种漏洞。
二、怎么基于wvs下进行表单破解?
1.首先设置在浏览器连接设置需要中转的代理端口,这样才能让http sniff读取数据。
点击configuration 在弹出下拉框中打开application settings 在打开http sniffer。
右侧为自定代理端口。
2.点击左侧的http sniff选项,打开star。
这时候http sniffer就开始为我们工作了。
3. 在捕获到的数据中单击右键,send to http fuzzer。。。。。
4.这时,数据包已经很轻松的躺在http fuzzer里面了。。。
我们要做的无非就是选择破解方式了。
5.右侧下拉框add generator 增加规则,这里分别对应的是
数字暴力破解(number generator)
字符破解(character genertor)
字典破解(file generator)
字符串暴力破解(character string genertor)
随机字符串暴力破解(random string genertor)
特殊字符(character genertor)
拿fack的hack game 做测试
我们选择字典破解,
在filename 处选择字典,这时在要跑密码的地方插入设定好的规则。
点击star。我们就开始跑数据囖。
当然,基于表单破解的工具还是蛮多的。 :D
三、结尾
技巧需要不断积累
源码需要不断思考
渗透需要不同的思路.
善于表达和分享才可以携手走向更遥远的未来. :D
求交流啊,by zh
评论79次
很欣赏你最后的这几句话:技巧需要不断积累源码需要不断思考渗透需要不同的思路.善于表达和分享才可以携手走向更遥远的未来
用过BP都知道 BP真心爆破不行 跑上几十万的量界面就卡死了. 除非你不要history, 那样就不知道结果了. 而且没地方设置中断条件. 除非自己写插件. 除了 溯雪 只能自己构造了.
burp suite 表示无压力
值得一学
看了半天BU强大,赶紧学xi
谢楼主分享,一直没了解到
不错的工具。功能很强,掌握全了不简单啊。
收藏了,谢谢楼主
有burp的fuzz强大么
楼主如何解决contlength的问题
burosuit都不错的!
mark撸过科普铁
不会用。。。。学xi下。
很欣赏你最后的这几句话: 技巧需要不断积累 源码需要不断思考 渗透需要不同的思路. 善于表达和分享才可以携手走向更遥远的未来. :D
下载看看
wvs有一个自带的功能叫Authentication Tester,就可以破解表单啊
和brp的差不多,还是喜欢brp破解。wvs能扫描出来的东西不多了
谢谢分享!不错!
表示稍微大一点的站就跑卡了 机器不行啊
偶尔用下WVS,机器差啊没办法,卡的要死。。