0x00 概述
大概1年前就出现了可以让一句话木马密码爆破速度提升千倍的技术,但由于遇到一句话木马的几率太小,没机会操作一番,前段时间遇到了疑似一句话木马,就参考网上两篇大神的文章(见参考资料)研究下这个技术。
0x01 原理
其原理就是apache和iis可以多参数提交,apache最多同时提交1000个参数,本人试过超过1000就报错了。而iis据说可以提交5883个参数,但本人win7下的iis7.5尝试提交3700个参数就500错误了,郁闷。那么就可以批量提交千个参数去判断哪个是一句话的密码,效率就比一个一个参数提交提高了千倍!
0x02 awBruter
根据上述原理写了这个可以千倍速爆破一句话密码的工具。
地址: https://github.com/theLSA/awBruter
效果图:
python awBruter.py -h
python awBruter.py -u “ http://192.168.43.173/onewordshell.asp ”
python awBruter.py -u “ http://192.168.43.173/onewordshell.aspx ” -v
python awBruter.py -u “ http://192.168.43.173:8999/onewordshell.php ” -f ../dic0.txt -v
0x03 结语
万一遇到一句话木马,尝试下千倍爆破,可能就有惊喜哦!
0x04 参考资料
https://www.t00ls.net/articles-36985.html
https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=16952&fromuid=220563
注:本文内容来自互联网,旨在为开发者提供分享、交流的平台。如有涉及文章版权等事宜,请你联系站长进行处理。