Hiccup Kit simplemente elimina las contraseñas de fondo de sitios web

Burp Suite es una plataforma integrada para atacar aplicaciones web. Contiene muchas herramientas y tiene muchas interfaces diseñadas para que estas herramientas aceleren el proceso de ataque a las aplicaciones.

Todas las herramientas tienen un potente marco extensible que puede manejar y mostrar mensajes HTTP, persistencia, autenticación, proxies, registros y alertas.

Proxy es un servidor proxy que intercepta HTTP/S. Actuando como intermediario entre el navegador y la aplicación de destino, le permite interceptar, ver y modificar el flujo de datos sin procesar en ambas direcciones.

Spider: es un rastreador web que utiliza sensores inteligentes para enumerar completamente el contenido y la funcionalidad de una aplicación.

Escáner [solo versión profesional]: es una herramienta avanzada que puede descubrir automáticamente vulnerabilidades de seguridad en aplicaciones web después de su ejecución.

Intruder: es una herramienta personalizada y altamente configurable que puede atacar automáticamente aplicaciones web, como enumerar identificadores, recopilar datos útiles y utilizar técnicas de fuzzing para detectar vulnerabilidades comunes.

repetidor: es una herramienta que vuelve a emitir manualmente una única solicitud HTTP y analiza la respuesta de la aplicación.

secuenciador: una herramienta para analizar la aleatoriedad de tokens de sesión de aplicaciones impredecibles y elementos de datos importantes.

Decodificador: es una herramienta para decodificar y codificar datos de aplicaciones de forma manual o inteligente.

comparador: es una herramienta práctica que generalmente obtiene la "diferencia" visual entre dos datos a través de algunas solicitudes y respuestas relacionadas.

(El contenido anterior es de la Enciclopedia Baidu)

DVWA (Aplicación web Damn Vulnerable) es una aplicación web PHP/MySQL para evaluación de vulnerabilidades de seguridad, diseñada para profesionales de la seguridad. Proporciona un entorno legal. para probar sus habilidades y herramientas profesionales y ayudar a los desarrolladores web a comprender mejor el proceso de prevención de seguridad de aplicaciones web.

Primero, configuremos la IP del proxy del navegador. La ip es 127.0.0.1 y el puerto es 8080.

Aquí utilizo el complemento de IP proxy para el navegador Firefox.

A continuación ingresamos a la página de inicio de sesión del sitio web, completamos el número de cuenta y la contraseña, y escribimos la contraseña casualmente (la contraseña correcta es contraseña). Escribo 123456 aquí.

Luego activa la función de interceptación de la suite Burp.

Regrese al sitio web y haga clic en Iniciar sesión para iniciar sesión. La cícada hipo interceptó el paquete.

Hacemos clic derecho en el área de datos para enviar el paquete de datos al módulo intruso.

Vayamos a la ubicación del módulo intruso, haga clic en Borrar$, luego seleccione "123456" y haga clic en Agregar$.

A continuación, llegamos a la función de carga útil.

Podemos agregar un diccionario de contraseñas.

También puedes optar por importar el texto del diccionario.

Todo está listo, comencemos a volar.

Pues corre

Hacemos clic en el largo.

Ha salido la contraseña correcta.