pikachu暴力破解之token验证--及burpsuite2021版本及以上的线程设置

萌新在学习关于token验证的爆破学习时,在设置线程的时候发现我的2021版本的和很多博主演示的都不一样,经过一番查找,才找到了如何设置。

实验过程

1.我们以pikachu的token验证为对象,这里我们是事先知道username是admin的,所以我们对password和token两个参数进行选定
在这里插入图片描述
这里我们注意的是爆破模式要选择pitchfork,模式的具体特点有博客
burpsuite爆破四种模式的区别详解
2.点击options,来到Grep-Extract,选择Add
在这里插入图片描述
3.在下面的搜索栏中搜索token,然后切换到有type为hidden的这页,双击选择这一段字符串,这段字符串就是验证所需要的token字段,然后选择ok
在这里插入图片描述
4.接下来往下走,在Redirections中选择always
在这里插入图片描述
5.选择payloads分别对字典1和字典2进行设置
其中字典1选择弱口令字典即可
在这里插入图片描述
点击payload set选择字典2,其中字典2的payload type选择为Recursive grep
在这里插入图片描述

6.最重要的一点,就是要选择线程,在最新的burpsuite版本中,线程设置不在options中,而在resource pool中,所以我们点击resource pool对线程进行设置。
在这里插入图片描述
然后直接选择start attack
在这里插入图片描述
7.发现长度不一样的回显,成功
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值