0×01简介 自己的百度.. 0×02 HTTP Fuzzer 很多时候,网上有很多爆破工具。 AWVS中的一个模块提供了这样的功能,但它不限于这样的工作。 首先,所有工具都需要获取HTTP数据包,这是重放浏览器操作的基础。既然是爆破,那么我们必须先登录。 这里我使用DVWA进行演示,它包含在OWASP Broken Web Application的ISO中,当然你也可以从官方获取他的副本。 DVWA的登录主页:
LiveHttp捕获包:
在HTTP Fuzzer中填写登录进程的HTTP数据包刚捕到:
在Generator中有很多方法可以看到。您可以使用AWVS自己的生成器,也可以选择文件生成器来使用您自己生成的字典。您还可以设置是否编码。 最后,在需要详尽的地方指定变量,对应于Generator的name属性。图中的蓝色字体部分。设置完成后如下:
我们还需要设置过滤器。在“模糊过滤器”选项中,规则描述可以自由填写,主要是类型,并且有两种类型的包含(排除)。在响应(应用于)中,您还可以设置判断类型。是所有响应的数据还是HTTP状态代码(基本身份验证方法)。这是个人的选择,许多页面判断错误将是302.设置完成不要忘记添加,如下图所示:
最后,你可以开始了。 0×03总结 像Burp一样,强大的Web渗透工具框架肯定不仅具有这么少的用途,所以让我们来谈谈他的应用程序。 Hv很有趣。 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。