打开就是一个这样的输入账号密码的登录框,打开我们的burpsuite,在账号密码框进行随意输入然后进行抓包。
抓包后获得以下界面
将抓包发送至intruder准备破解
方法一:集束炸弹
在Intruder中选中Cluster bomb攻击模式,再在payload中导入提前准备的账户和密码集或一个个进行添加。
然后start attack,爆破结束根据返回长度来确定正确密码其中用户:admin 密码:123456与其他长度均不同。
得到正确的用户名和密码
方法二:交叉
在attack type选择pitchfork
同时对选中区域进行第一个和第二字典的遍历,如果两个payload行数不一致的话,取最小值进行测试。
方法三:sniper
在attack type 选择sniper
只能创建一个payload,然后将这个payload对选择区域分别遍历,保留区域1初始值,将字典遍历区域2,然后保留区域2初始值再将字典遍历区域1