怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程

(3)设置破解密码字典

单击“payloads”功能标签页面，这里是密码字典的一些配置。先单击“clear”清楚前面的密码字典设置，然后单击“load”从一个文件从导入密码。如图7所示，已经导入了密码字典。

设置密码字典

(4)设置密码提交错误过滤信息

单击“options”(选项)标签菜单页面，该页主要设置错误信息的过滤，也就是如果是错误的则继续进行破解，这个需要针对不同情况进行相应设置，如图8所示，单击“clear”清楚以前的默认设置。在webshell地址中随便输入一个密码，如图9所示，获取错误信息的反馈页面，并获取错误关键字“密码错误不能登录”。在“add”按钮后的输入框中输入“密码错误不能登录”并添加，至此密码暴力破解设置完成。

设置错误过滤信息

获取错误关键字

添加过滤关键字

(5)开始破解webshell密码

单击菜单上面的“intruder”-“start attack”开始进行攻击测试，在攻击响应页面中可以看到前面所设置的密码发送的每一个请求。然后在“status”中会返回状态，“302”代表成功，200是返回正常。如图11所示，密码“00sujung”即为webshell密码。有关状态反馈代码具体含义如下：

200 返回正常，即服务器接受了我们的请求并返回了响应的结果，通常说明这个页面是存在的，发送的请求是允许的。

302 返回错误，即服务器接受了我们的请求，但是需要更多操作来获取返回结果。比如跳转到新的页面,因为我们都知道shell密码输入后会跳转到响应的功能页面。所以就产生了这样的错误。

破解webshell密码成功

(6)成功获取webshell

在webshell密码框中输入刚才破解的密码“00sujung”，成功登录webshell，如图12所示，成功破解webshell密码。

成功获取webshell

以上就是代码网小编为大家讲解的如何使用burpsuite破解webshell密码的教程，需要的朋友快来试试吧，想了解更多精彩教程请继续关注代码网网站！