0x01
之前使用 BurpSuite 进行了简单的请求修改演示,现在我们来使用 BurpSuite 进行账号密码爆破。
0x02
这次对漏洞靶场 Pikachu 进行爆破,这个靶场的第一关便是暴力破解。
0x03
基于表单的暴力破解
浏览器设置好代理,burp 开启拦截,输入账号密码,点击登录,burp 拦截到请求。
右键,选择 Send to Intruder。
然后来到 Intruder 界面,选择 Position,点击 Clear,清除默认的荷载,然后分别依次选中账号和密码部分并点击 Add,最后选择 Attack Type 为 Cluster bomb。因为我们账号和密码都不知道,所以账号密码都需要爆破,故选择这种模式。
点击 Position 旁