1.1 暴力破解——基于表单的暴力破解
1.需要准备的工具
burpsuit
链接:https://pan.baidu.com/s/1NoNW0-BEtcEPQ21npyZZ8w
提取码:rpnq
火狐浏览器
链接:https://pan.baidu.com/s/1yFRS1vXrO__lwPbz_nm_ig
提取码:ahw0
2.设置端口
2.1 浏览器设置
前面用docker搭建靶场的时候,映射的端口为8000,所以浏览器和bp设置的端口均为8000
2.2 burpsuit设置
- 进入bp,点击Proxy->Options->Add
- 点击Add,添加端口8000
- 选择需要监听的端口
3.抓包分析
随意输入用户名、密码,点击login进行抓包
4.设置爆破点
4.1 发送至intruder
4.2 设置爆破元素
点击 Add$ 按钮,设置爆破元素为 username 和 password,攻击模式为Cluster bomb
攻击模式的区别:https://www.pudn.com/news/6228d2f69ddf223e1ad19dbc.html
4.3 载入用户名和密码的爆破字典
- 载入用户名字典
- 载入密码字典
5.进行爆破
5.1点击start attack 开始爆破
5.2 爆破成功
对length进行排序,长度最小的就是用户名和密码