Subject
brute-force
Lab: Username enumeration via response timing
Mind Palace
通过观察发现,并不能直接使用 Intruder 模块的 cluster bomb 来直接暴力破解出账户密码;因为在同一个 IP 多次发送 HTTP-POST 请求后,有一个等待机制
解决方式:X-Forwarded-For
中使用不同的 IP 地址来 bypass
Step 1
制作 payload 文件
Step 2
在 BP 的 Intruder 模块中配置 brute-fore
配置完成点击 Start attck
;完成以后,进行筛选就获得了 username&password
END o(´^`)o