本篇文章為大家展示了如何解析Burpsuite中的Tomcat后臺，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

創(chuàng)新互聯(lián)是一家專業(yè)的成都網(wǎng)站建設(shè)公司，我們專注成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、網(wǎng)絡(luò)營銷、企業(yè)網(wǎng)站建設(shè)，友情鏈接，廣告投放為企業(yè)客戶提供一站式建站解決方案，能帶給客戶新的互聯(lián)網(wǎng)理念。從網(wǎng)站結(jié)構(gòu)的規(guī)劃UI設(shè)計到用戶體驗提高，創(chuàng)新互聯(lián)力求做到盡善盡美。

一、Vulhub搭建該Tomcat環(huán)境

1、進入vulhub文件夾中Tomcat所在的目錄

2、啟動該環(huán)境 docker-compose up -d

3、如果第一次啟動，會下載很多軟件，可能會慢一點，大家安心等待即可

二、訪問：http://192.168.1.133:8080/manager/html進入Tomcat后臺

三、打開Burpsuite開啟代理，抓取Tomcat后臺登錄數(shù)據(jù)包

GET /manager/html HTTP/1.1

Host: 192.168.1.133:8080

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

DNT: 1

Connection: close

Upgrade-Insecure-Requests: 1

Authorization: Basic dG9tY2F0OnRvbWNhdA==

四、經(jīng)分析，登錄的加密方式將用戶名和密碼用分號隔開，然后再進行Base64加密

五、將數(shù)據(jù)包發(fā)送到Intruder模塊，并把加密內(nèi)容添加到爆破

六、構(gòu)造Payloads，選擇Custom iterator模式

七、添加用戶名字典

八、添加分隔符號":"

九、添加密碼字典

十、進行Base64加密

十一、開始攻擊，通過返回字節(jié)長度或狀態(tài)碼判斷出正確的用戶名和密碼

上述內(nèi)容就是如何解析Burpsuite中的Tomcat后臺，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。