模拟post请求暴力破解密码如何优化

天然居 2014-09-01 08:17:42

已知某网站登录是用户名和六位字符密码两个参数post方法提交。我现在模拟post提交，但是速度太慢，一分钟才遍历120次，有没有什么方法可以优化下代码
部分代码如下：
//连接地址
String surl = "http://**************************"；
URL url = new URL(surl);
URLConnection connection = url.openConnection();
connection.setDoOutput(true);
OutputStreamWriter out = new OutputStreamWriter(connection
.getOutputStream(), "UTF-8");
out.write("UserName="+username+"&PassWord="+password);
out.flush();
out.close();
String sCurrentLine;
String sTotalString;
sCurrentLine = "";
sTotalString = "";
InputStream l_urlStream;
l_urlStream = connection.getInputStream();
if (connection.getHeaderField("Location") != null) {
return true;
}

...全文

640 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

天然居 2014-09-02

打赏
举报

回复

引用 1 楼 gagewang1 的回复:

多开线程试试。。

试过了感觉差不多好像因为内个getInputStream是阻塞方法还是要等待

新铺村长 2014-09-02

打赏
举报

回复

网站做的太垃圾了这种暴力破解那么简单

中华雪碧 2014-09-01

打赏
举报

回复

多开线程试试。。

原理：利用字典爆破进行破解实验环境：本机Win10（python3.7环境）、虚拟机Win2003（搭建DVWA网站）工具：火狐浏览器、Burp Suite 实现步骤： 1、获取正常登录时需要提交的数据信息。 Burp Suite开启抓包，浏览器范文Dvwa登录页面，按F12开启网络数据查看器，登录dvwa. 可知：username、passwo...

有一种网站，没有验证码；有一种网站，你可以利用某种手段获取到登陆者的用户名（比如邮箱啦等等，用户名你是知道的），你所不知道的仅仅是登录密码，有没有什么方法可以破解呢？我们单位有一个内网（虽是内网，但有时在家也可以登录），用户名可以搞到，密码原始是六位的数字（其实大多数人都没有修改过），而且牛叉的是，这个网站登录时，如果输入错误次数过多也不会让你输入验证码，这太好了，心中窃喜，可以用暴力...

暴力破解漏洞介绍 暴力破解的产生是由于服务器端没有做限制，导致攻击者可以通过暴力的手段暴力破解的产生是由于破解所需信息，如用户名、密码、验证码等。暴力破解需要一个庞大的字典，如 4 位数字的验证码，那么暴力破解的范围就是 0000~9999，暴力破解的关键在于字典的大小二．暴力破解靶场实战漏洞描述：由于没有对登录页面进行相关的人机验证机制，如无验证码、有验证码但可重复利用以及无登录错误次数登录账号和密码。限制等，导致攻击者可通过暴力破解获取用户修复建议 1、如果用户登录次数超过

这一行的作用是作一次get请求，响应信息被变量Response接收这种方式和burp的Intruder模块的Cluster bomb攻击方式一样Response.status_code是响应的http状态码，len(Response.content)是http响应报文的长度。

准备忘记了密码？试一试暴力破解吧打开F12，填写用户名、密码后，点击登录，看到请求头信息、提交的表单信息，例如下图：也可以看到此次登录请求发送到的 url：也可以看到此次请求返回的结果：遍历数字字母组合密码根据以上，可以用Python伪造请求，遍历所有密码（注意多数网站会有尝试次数限制…）（以下代码遍历的是所有不重复的字符组合，比如不会尝试111222这样的密码，此处待改进） ...

67,549

社区成员

225,860

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章