0x00 实验环境 攻击机：Win 10 0x01 爆破指南 针对某Tomcat默认管理页面： （1）这里主要是介绍一种比较好用的burp爆破方法： 点击Tomcat后台管理链接 Tomcat Manager： 随意输入用户名 ...

...

拿DVWA举例子。环境百度自行搭建。 开启burpsuite 选择temporary project(临时工程) 选择默认配置进入后，访问127.0.0.1:8080 安装证书 ...

之前一直使用Burpsuite对某个接口进行身份证号码爆破，500个号码几分钟就可以快速爆破完。 但近期再次尝试爆破时发现该站点做了防护，导致爆破过程会出现错误页面，于是决定调整思路，放慢爆破速度，采用延时爆破。 修改Burpsuite中Intruder模块参数： 再次进行爆破 ...

http://www.myhack58.com/Article/html/3/8/2015/65021.htm http://xlixli.net/?p=410 http://blog.csdn. ...

先尝试例如删除token 猜token的值等操作 不行就burp抓包 选择Pitchfork模式。选择要爆破的参数 线程设置为1显然只有获取上一个请求返回的taken值才能，做下一次请求 点击Refetch response 获取返回的包，找到返回的token值 ...

最近在提高自己编程能力，拿一些实用的小工具练下。该脚本为python语言，主要涉及模块zipfile,threadings模块。 功能：暴力猜解zip解压密码 ...

show options: ...