X黑手网
X黑手网
X黑手网

jboss页面弱口令爆破

Jboss4.0默认页面登录管理

image

启动burpsuit抓包进行弱口令爆破

image

对Basic后面那一段base64进行解码发现是这样的一个格式 账号:密码,所以这里需要添加三个参数并且拼接到一起,这是最好的方式是使用自定义迭代的方法
格式为: 用户名:密码,然后提交的时候进行base64加密, 

image

发送至爆破处

image

选择攻击类型,这里我们使用默认模式sniper(狙击手)

image

 

设置paylod,字典,配置每个位置的值,注意这里每个用户名变量都使用自定义迭代器
第一个就是用户名变量,手动加入一些常见的用户名,选择位置为1

image

第二个变量是用户名和密码的分解符,所以直接加入:即可,选择位置2

image

第三个变量是密码变量,手动加入一些密码测试爆破,选择位置3

image

取消默认将参数值进行url编码

image

最后进行base64编码

image

最后开始爆破

image

通过状态码为200表示爆破成功,我们进行base64解密后台用户名密码就是tomcat:tomcat

image

 

 

 

 

© 版权声明
THE END
喜欢就支持一下吧
点赞7赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容