Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

数据爆破模块不太会使用 #3

Open
wang1213884 opened this issue Apr 9, 2023 · 6 comments
Open

数据爆破模块不太会使用 #3

wang1213884 opened this issue Apr 9, 2023 · 6 comments

Comments

@wang1213884
Copy link

嗨,大佬,使用了你的软件,但是看了半天,没搞懂数据爆破模块咋用的
image
@x364e3ab6
Copy link
Owner

x364e3ab6 commented Apr 9, 2023
edited

以爆破路径举例

第一步:首先先访问目标网站,在数据监视哪里右键点击数据爆破,他会把请求报同步到数据爆破哪里去(当然你可以自己构造请求包,记得右边的网络参数配置也得补全)。
Snipaste_2023-04-09_21-05-21

第二步:选择爆破字典,爆破目录就使用目录字典,密码就使用密码字典。
Snipaste_2023-04-09_21-06-14

第三步:插入字典,看到我选中那个位置了没,点击界面得插入字典按钮他会在你鼠标得位置插入一个${Dict}$这么一个标记作为遍历替换的标识点
Snipaste_2023-04-09_21-06-40

第四步:作为爆破路径来说,有的是想爆破文件,有的是想爆破目录,那爆破文件一般是选择返回200状态码为存在文件,目录的话就是403状态码,这个得按照具体情况具体需求,另外在旁边还有关键字过滤,也就是存在你输入的关键字则为失败,一般用户密码爆破,点开始爆破就可以爆破了。
Snipaste_2023-04-09_21-07-03

我为什么会把这个功能叫做数据爆破而不是密码爆破或者目录爆破...主要是这个功能是基于HTTP请求包的爆破,无论是GET还是POST里面任何能属性值都可以爆,至于应用场景还是得基于对HTTP的理解,大致上可以爆文件、目录、账号、密码、Cookie等所有可以猜测的值。

执行上面操作后返回的结果如图:

Snipaste_2023-04-09_21-24-41

@x364e3ab6
Copy link
Owner

你要是缺字典可以去 https://github.com/yichensec/yichen_Password_dictionary 这里拿··· 我看他字典还是很全的

@wang1213884
Copy link
Author

wang1213884 commented Apr 9, 2023 via email

@x364e3ab6
Copy link
Owner

导入图片? 字典不都是文本格式的吗?点一下这里,选择一个字典就可以了
1681048859469(1)

@x364e3ab6
Copy link
Owner

你看看我前面第一个回复...

@wang1213884
Copy link
Author

wang1213884 commented Apr 9, 2023 via email

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@x364e3ab6 @wang1213884