首页 » NetworkSec » Penetration » 正文

千倍速一句话密码爆破工具awBruter

0x00 概述

大概1年前就出现了可以让一句话木马密码爆破速度提升千倍的技术,但由于遇到一句话木马的几率太小,没机会操作一番,前段时间遇到了疑似一句话木马,就参考网上两篇大神的文章(见参考资料)研究下这个技术。

 

0x01 原理

其原理就是apache和iis可以多参数提交,apache最多同时提交1000个参数,本人试过超过1000就报错了。而iis据说可以提交5883个参数,但本人win7下的iis7.5尝试提交3700个参数就500错误了,郁闷。那么就可以批量提交千个参数去判断哪个是一句话的密码,效率就比一个一个参数提交提高了千倍!

 

0x02 awBruter

根据上述原理写了这个可以千倍速爆破一句话密码的工具。

地址:https://github.com/theLSA/awBruter

效果图:
python awBruter.py -h

python awBruter.py -u “http://192.168.43.173/onewordshell.asp

python awBruter.py -u “http://192.168.43.173/onewordshell.aspx” -v

python awBruter.py -u “http://192.168.43.173:8999/onewordshell.php” -f ../dic0.txt -v

 

0x03 结语

万一遇到一句话木马,尝试下千倍爆破,可能就有惊喜哦!

 

0x04 参考资料

https://www.t00ls.net/articles-36985.html

https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=16952&fromuid=220563

 

 

Comment