基于表单的暴力破解
访问页面,随便输入账号密码 aa、bb ; 使用burpsuite 抓包;send to intruder
使用集束炸弹模式,设置aa、bb为参数
payload 设置,用户名 和密码设置传入常见的账号、密码文本
设置 Grep-Match
由于登陆失败会提示 :username or password is not exists~
在intruder 的 settings 处设置 Grep-Match ,这样在爆破时,就会把所有登陆失败的都展示,
反之,登陆成功的都不展示;
又或者查看返回response 的长度,成功和失败的长度都不一样;
最后,得到账号:test,密码abc123 和 admin,123456