客户有弱口令检查时需求,很多系统用户名密码参数都是加密,分析加密耗费时间成成本比较高,且不一定能解密成功。
所以找了一款模拟提交登陆爆破的工具,大部分情况可无视用户名密码参数加密,内置ddddocr库,可自动识别验证码。
经测试验证码识别正确率还是挺高的,使用前注意安装脚本依赖。
1.爆破模式: 与burp4个模式相同,多了一个截图模式,意为爆破成功后自动截图生成报告。
2.浏览器:true为前端唤起浏览器模拟登陆。false为后台自动跑。
3.验证码错误关键词:输入密码错误时系统回显的密码错误提示。
自动模式:
自动模式下, 输入系统登录地址与验证码错误关键词,导入字典,适当调节线程,可直接开始爆破。
自动1.png
手动模式:
手动模式下需要手动填写各个参数的xpath,xpath地址填写方式看下图示例
xpath11.png
xpath.png
程序优点
优点1:针对网站后台用户名密码加密无需分析js即可爆破请求。
优点2:采用通用特征方式识别用户名和密码进行提交请求。
优点3:通过内置大佬ddddocr库可以进行存在验证码后台爆破。
优点4:通过监听请求数据可以做到验证码错误重试功能。
优点5:可以对大量不同登录系统进行批量爆破测试并截图。
