(实验开始前要把网页选项里的服务器设置成代理服务器,我们的burpsuite就相当于一个代理服务器)这点可以百度
首先我们的目标是某大学的教务系统,打开登录界面:
我们先试着输入密码123456(乱猜的),burpsuite也捕捉到了数据包:(这里要注意收到包后然后要放包,你才能在网站上接受到数据,显示下一步)
在positions中选中要破解的pwd:
在payload中引入我们已经创建好的字典,点击start attack,开始攻击!
我们看到返回报文的长度就可以轻松判别密码是最与众不同的那个。(已经对密码打马赛克)
今天的内容比较简单,多复习就好!