burp爆破的前提条件是该网站账号密码没有进行加密而是明文,且验证码可以重复使用,如下图数据包中直接显示账号与密码且验证码不需要重复提交(此处需要自己使用burp进行测试)
1.进入burp,监听浏览器
2.打开网站输入账号,密码,验证码点击登录抓取数据包,将数据包发送到intruder中
3.Intruder —> Positions 单击Clear , 选中账号—> Add
选中密码->Add,选择爆破模式:Cluster bomb(若有两处选择Cluster bomb,一处则选择Sniper)