web_login_cracker

web登录爆破

---

用途

可用于爆破任何基于http/https协议使用get或post进行认证的网站
如：phpmyadmin,discuz,dedecms,phpcms等

特性

1. 基于请求文件，可灵活适用于各种验证方式
2. 可以修改代码实现base64编码或使用js脚本进行编码
3. 意外中断程序后可以恢复爆破进度
4. 适用于http和https协议
5. 可通过使用简单验证码识别及工具编写思路 | WooYun知识库中的验证码识别工具爆破有验证码的网站

需求

需要安装requests模块

使用方法

1. 用burp suite等抓包工具获得登录原始请求
2. 用{%username%},{%password%},{%code%}三个关键字分别替换掉登录请求中的用户名和密码和验证码（需要工具支持）

3. 按下面的格式输入参数

   
   Usage: D:/web_login_cracker.py -r [request file] -u [usernames file] -p [passwords file] --error_password [error_password_signatures]
   Options: 
   
     -h, ––help            show this help message and exit 
   
     -r REQUEST_FILE, ––req_file=REQUEST_FILE 
   
                           specify web login request file 
   
     -u USERNAMES_FILE, ––usernames_file=USERNAMES_FILE 
   
                           specify usernames dict file 
   
     -p PASSWORDS_FILE, ––passwords_file=PASSWORDS_FILE 
   
                           specify passwords dict file 
   
     -R, ––recovery        recovery progress 
   
     -P VERIFYTOOL_LISTEN_PORT, ––port=VERIFYTOOL_LISTEN_PORT 
   
                           VerifyTool listen port 
   
     -c CODE_URL, ––code_url=CODE_URL 
   
                           specify verifycode url 
   
     ––https               use https protocol 
   
     ––cookie_url=COOKIE_URL 
   
                           specify get cookies url 
   
     ––error_username=ERROR_USERNAME 
   
                           username does not exist Keyword(regex) 
   
     ––error_password=ERROR_PASSWORD 
   
                           password error keyword(regex) 
   
     ––error_code=ERROR_CODE 
   
                           verifycode Error Keywords(regex)
   

   example:
   

   python D:/web_login_cracker.py -r req.txt -u u.txt -p p.txt –error_password 密码错误 –error_code 验证码错误  –error_username 帐号不存在 -P 1506 –code_url “http://*.*.cn/servlet/AuthenCodeImage”
   

4. done!