一、Burpsuite技巧之MD5加密密碼爆破

現(xiàn)在有很多后臺都不再是明文傳輸，改成了各種各樣的加密方式。

今天就拿MD5加密方式做一個演示，舉一反三，希望對新手有用。

如圖，MD5加密了密碼，遇到這種后臺，我們只需要稍微設(shè)置下

Burpsuite就可以進行MD5加密密碼爆破了哦

首先添加自己的字典，然后在下面添加負載處理，選擇對應(yīng)的加密方式即可。

效果如下:

二、burpsuit爆破帶驗證碼的后臺密碼

說起對存在驗證碼的登錄表單進行爆破,大部分人都會想到PKav HTTP Fuzzer,這款工具在前些年確實給我們帶來了不少便利。

反觀burp一直沒有一個高度自定義通殺大部分圖片驗證碼的識別方案，于是抽了點閑暇的時間開發(fā)了captcha-kille(https://github.com/c0ny1/captcha-killer),希望burp也能用上各種好用的識別碼技術(shù)。

其設(shè)計理念是只專注做好對各種驗證碼識別技術(shù)接口的調(diào)用！說具體點就是burp通過同一個插件，就可以適配各種驗證碼識別接口，無需重復編寫調(diào)用代碼。今天不談編碼層面如何設(shè)計，感興趣的可以去github看源碼。此處只通過使用步驟來說明設(shè)計的細節(jié)。

去作者 github 下載 captcha-killer.jar 擴展,然后加載到burp中,各種調(diào)試成功試別爆破后,說說感謝把,

優(yōu)點:基于 burpsite 開發(fā)的小插件,這個插件本身是不能試別驗證碼的,但是可以添加接口,這就非常方便使用了,直接百度搜索下一些收費或者免費的解碼平臺,然后配置進去即可,方便簡單強大.

缺點:不知道是BUG還是什么情況,我總是遇到修改后的包的http頭丟失字母,比如域名xx.com 丟失最后的m 經(jīng)過各種換接口調(diào)試,終于解決了.

發(fā)兩張圖:

?

總結(jié)

以上是生活随笔為你收集整理的Burpsuite技巧之MD5加密密码爆破、带验证码爆破的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。