在HTTP中,基本认证(Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供用户名和密码 的一种方式
1.打开环境
2.点击后发现一个登录页面
3.随意设置用户名和密码,使用bp抓包 ,发送到爆破模块
3.设置爆破位置
4.修改payload
为自定义迭代器(Custom iterator)
它共有8个占位,每个占位可以定义一个简单列表,最终所使用的payload为每个占位的简单列表的笛卡儿积。 例如:在HTTP Basic认证中,用户名密码的格式是[username]:[password],利用Intruder进行爆破,只需要在第-一个占位中加入username列表,在第二个占位中输入”:.",在第三个占位中输入password列表,就能产生这样的效果。
payload encoding 可以配置哪些有效载荷中的字符
是URL编码的HTTP请求中的安全传输。
任何已配置的URL编码最后应用,任何有效载荷处理规则执行之后。
这是推荐使用此设置进行最终URL编码,而不是一个有效载荷处理规则,
因为可以用来有效载荷的grep选项来检查响应为呼应有效载荷的最终URL编码应用之前
4,爆破得到一串字符
5.使用decoder解密
6.输入账号密码得到flag