1准备:
网页设置代理为本地,可以自行选项配,推荐插件foxy,
:
2抓包:
进入要抓包的网页后,代理设置完成,打开burpsuit
在proxy下选择intercept ,开启监听。:
接下来在网页进行的操作都会被截下。
抓包内容:
2:回包:
对抓到的包右键点击:
发送repeater后:
点击go,即可获得回包。
3:密码爆破:
对抓到的登录界面的包进行右键点击发送到intruder:
设置攻击目标IP,端口,本地默认即可:
在Postion界面设置爆破点:
首先clear,清掉全部,然后选择爆破点,选择add添加上
共有四种密码爆破模式,
sniper是狙击手精准模式,
一般用来对单参数即一个爆破点时使用,就密码本写进去爆破即可。
battering ram时工具锤模式,
一个参数时和sniper一样。两个参数时共用一个密码本,简单说就是账户和密码相同,进行爆破。
pitchfork:草叉模式,
对多参数我感觉这个比较友好,可以添加两个密码本,密码本之间一对一,即密码本1的第n个密码和密码本2的第n个密码一一对应进行爆破。
cluster boom模式:集束爆破模式:
多对多,每一种组合进行尝试。区别在于爆破两个爆破点时,这种模式会对密码本内所有可能的结果进行尝试。
这里进行基础的sniper爆破,选中一个爆破点之后,进行payload设置:
set设置参数,这里为1.
点击load添加密码本,选择txt文件即可
最后开始攻击,
找不到的话,有些版本options的这里也有开始按钮
开始之后点击:
按长度排序,一般来说与大多数返回长度不同的便是所求密码。
扫一扫
6811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
