先安装工具
首先要安装java JDK,然后安装burp suite软件,打开工具包中的Burpsuite文件夹,该文件夹里有两个jar包,双击打开BurpLoader.jar
然后安装burpsuite。具体怎么安装参考网上的安装步骤。
1:切换至proxy选项卡的Option选项下,设置代理地址和端口:127.0.0.1:8080。
2:启动刚刚设置的代理
3:先写一个登录界面,运行网页,并输入一个错误的密码来测试代码是否正确。
网页中写判断语句,输入正确welcome 输入错误failed
注!登录界面可随意选择,为了方便我自己写了登录界面
4:选择Proxy选项卡下的“Intercept”选项,点击“Intercept is off”按钮,按钮会变成“Intercept is on”
5:打开代理,并在浏览器里提交一次登录请求,这个时候捕捉到你的登录请求
6:切换到Intruder选项卡下,选择“Target”,设置主机地址以及端口号,端口号默认是80,假如网站使用的是HTTPS协议的话就勾选下方的“Use HTTPS”切换到443端口(SSL)
7:切换到Positions选项,点击右边的“Clear $”按钮,清除所有默认参数。
8:选中要爆破的选项添加add
9:切换到“Payloads”选项,选择要使用的“Payload type”,这里我们选择“Simple list”。
10:在下方的“Add from list”中选择一种密码,这里我们选择“8 letter words”。
11、点击菜单栏的“Intruder”,选择“Start attack”
12、扫描到差不多的时候,我们按Length(长度)大小排序。这是我们会看到几种不同的数据包,许多一样的,还有几个数据包很大的基本就是正确的了。有的正确的密码会在后面的框打钩
1488
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
