最近ActiveMQ 漏洞很火,有些目标主机的ActiveMQ开启了http basic认证,此时需要爆破该认证,下面介绍两种爆破方法。
方法一 使用AWVS进行爆破
启动awvs,点击左侧【Tools Explorer】--->【Tools】--->【Authentication Tester】,然后在右侧配置爆破参数
方法二 使用burpsuite爆破
1.把请求发送到intruder模块
2.【Payload Sets】-->【Payload type】-->选择【Custom iterator】
3.【Payload Options】-->Postion 1 添加用户名字典文件,同时在【Separator for position 1】中 输入“:”,即分隔符
4.同上在Positon 2 中添加密码字典文件,【Separator for position 2】内容留空
5.【Payload Processing】中增加【Base64-encode】规则
6.【Payload Encoding】下去除勾选,禁用URL-encode
7.成功爆破后如下所示
© 走过岁月...... | Powered by LOFTER