爆破无验证码的弱口令密码
(一)、打开以创建好的网站。若没有搭建则看我上一篇文章如何搭建网站。这是我已搭建好的网站。
(2)、启动代理功能和打开burpsuite并配置好
(1)、若知道账号不知道密码的爆破
先打开burpsuite的抓包功能,然后在网站中随便输入一个密码,点击登录
这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择pass=后面的东西add加上§§符号
在选择payload中的load加载已准备好的弱口令字典
最后点击start attack
出现length则表示可能爆破成功,点击response下的render发现不同则表示爆破成功
(2)、爆破不知道账号和密码的弱口令
先打开burpsuite的抓包功能,然后在网站中随便输入一个账号和密码,点击登录
这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择user=和pass=后面的东西add加上§§符号
attack type选择第四个,然后转到payload
先给账号加载弱口令字典
给密码加载弱口令字典
最后点击start attack
出现length则表示可能爆破成功,点击response下的render发现不同则表示爆破成功