一、爆破
1.打开burp,打开浏览器代理,打开网页拦截。
2.输入用户名和密码,burp抓包,然后发送到Intruder(爆破)
3、打开position,点击Clear,选中账号,点击Add ; 选中密码,点击Add ; Attack type>Pitchfork ,开始爆破。
4.Payloads
1>payload set表示爆破参数,用户名和密码是两个爆破参数,故填选2;payload type 默认
2>在payload Options中加入字典,也可以使用load导入字典
3>开始爆破
5.返回结果如图所示,状态码200表示访问成功,返回长度与其他不同的即为正确的账号密码6.得到账号:admin 密码:123456,登录后得到flag。