探索网络安全新技术
攀登黑客技术最高峰

FuzzPayloadGennerator:BurpSuite字典爆破工具

前言

主要是解决我日常爆破时字典的需要,收集的字典数据太多了,有时想要指定特征的爆破字典就要自己手撸, 所以就想着写个插件了,可以自己通过配置生成字典了, 未来会持续写,把日常可能使用到的都实现了,主要是太懒了。

界面预览

FuzzPayloadGennerator:BurpSuite字典爆破工具-威武网安

配置解读

1.密码长度要求:不能理解我也办法了
2.密码复杂度:指定复杂度的范围,一般密码要求就是”字母/数字/特殊字符的两种及以上组合”,那范围就是2~3
3.密码复杂度选择:打开密码复杂度的检测开关,如果不开,但又要这部分数据的话,你就yy吧
4.基础数据集选择:也就是参与组合的基础数据,比如我就想要大写/小写字母,那就勾选,然后组合就会拿这两个数据集进行排列组合
4.1 MinStep:使用基础数据集数据切片的步长,比如大写字母{1,2,3,4,5,6,…},MinStep为2,那生成的就是12/123/1234等,最小长度是2,如果{12,34,56,78,…},MinStep=2,则1234/123456/12345678等
4.2 常见用户特征:这里会内置一些常见的特征,用于生成密码,很常见的就是’admin@123’,可新增删除
4.3 自定义组合:就是字面意思自定义,比如我想生成admin@123这样格式的密码,那就根据基础数据集的index进行组合(index在每类数据集的末尾)
5.选择对生成数据的处理,比如首字母大写
6.按钮Addgenrate:根据配置生成密码字典,但是生成的结果会追加到末尾
7.按钮Regenrate:就翻译意思,重新生成,相比Genrate,会清空已有的数据
8.展示生成的数据
8.1 按钮Save:保存数据到文件
8.2 按钮Remove/Clear,就是删除选中及清空数据
8.3 按钮Default,是加载内置的密码字典

Api

为啥搞这个?不是有很多api枚举的工具么!!比如dirsearch

1.因为我枚举出来后只知道url,我想知道请求响应的内容,还必须得自己请求访问一遍-_-||

2.我想重放请求,还得再抓包一次-_-||

所以你说我为啥搞呢~

功能设计构思

1.提供api的字典
1.1 勾选后缀,选择字典数据
2.就是经常会从js中撸出一些api,然后又得手工一个个访问请求看看,能否直接贴上,然后自动跑了(path参数变量需要替换,可能会有多个)
2.1 多行输入(用于粘贴复制的url)- 组件JTextArea
2.2 添加path参数的标识(从粘贴的url中识别)- 组件JList
3.还有个可能算不上好的东西,就是我的请求可以带会话凭证,这样还能爆破有效接口

项目地址

FuzzPayloadGennerator

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《FuzzPayloadGennerator:BurpSuite字典爆破工具》
文章链接:https://www.wevul.com/1683.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册