Python怎么編寫一個密碼暴力攻擊測試器

本篇文章給大家分享的是有關(guān)Python怎么編寫一個密碼暴力攻擊測試器，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

HTTP基本認(rèn)證（HTTP Basic Authentication）是HTTP協(xié)議中實現(xiàn)Web資源訪問控制的最簡單的認(rèn)證手段。其通過添加header頭域的方式或者在URL中附帶參數(shù)的方式提供認(rèn)證信息，并通過Base64編碼將認(rèn)證信息進(jìn)行編碼傳輸，最后由服務(wù)器接收到編碼后的字符進(jìn)行解碼認(rèn)證。

當(dāng)我們訪問一個需要進(jìn)行HTTP基本認(rèn)證的網(wǎng)址時，其會通過響應(yīng)一個401狀態(tài)碼，并返回一個認(rèn)證框來接收用戶輸入的認(rèn)證信息。如果我們填錯，服務(wù)器會繼續(xù)返回一個401狀態(tài)碼和認(rèn)證框，如果認(rèn)證成功，則返回200請求成功狀態(tài)碼。

HTTP基本認(rèn)證一個優(yōu)點是幾乎所有的現(xiàn)代瀏覽器都支持這種認(rèn)證方式，非常的簡單方便，但是由于其技術(shù)特性，這種認(rèn)證方式并不是很安全，現(xiàn)在亦多存在于內(nèi)網(wǎng)環(huán)境下的站點。

其采用的Base64編碼加密，也是屬于“防君子不防小人”的加密。利用Python的base64模塊，我們就能夠輕松的進(jìn)行加密和解密：

返回的結(jié)果為：

是不是感覺很坑爹，嗯，就是的。^_^

了解了HTTP基本認(rèn)證的一些概念，下面我們繼續(xù)使用Python編寫一個滲透測試密碼暴力破解器。

照常，我們引入相關(guān)的模塊

相關(guān)模塊的功能，在上一篇編寫資源探測器的文章中已經(jīng)提及，忘記了的可以前往博客閱讀：http://zmister.com/archives/180.html、http://zmister.com/archives/181.html

由于字典中的條目會有很多，所以我們設(shè)置一個全局變量，用來標(biāo)識字典中的密碼是否有效：

然后照例我們定義一個橫幅函數(shù)，裝飾我們的單調(diào)的命令行：

接著，仍然是程序的使用參數(shù)方法示例：

接著就是我們的主類request_performer()：

最后是啟動線程的函數(shù)launcher_thread()和啟動程序的函數(shù)start()：

最后，我們依然使用虛擬機中的http://www.scruffybank.com/作為靶機，對http://www.scruffybank.com/Admin 的admin用戶進(jìn)行密碼攻擊測試，以一個弱口令文件作為字典：

在命令行終端運行命令：

結(jié)果顯示發(fā)現(xiàn)了一個密碼“administrator”

我們打開http://www.scruffybank.com/Admin，使用用戶名admin和密碼administrator登錄，看看能否成功登錄。

結(jié)果認(rèn)證成功進(jìn)入了一個目錄內(nèi)，說明我們的弱口令密碼暴力測試成功了。

以上就是Python怎么編寫一個密碼暴力攻擊測試器，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。