6.brup爆破
一般直接到intruder,以下是学习过程中所学习的
在暴力破解中,重要的寻找好的字典
https://github.com/rootphantomer/Blasting_dictionary/blob/master/常用密码.txt
实验步骤:
1.设置burp的监听端口和设置浏览器代理(设置完成brup才能抓取包)
2.抓取该网站两个包,用burp中的comparer进行比对两个包(一般相同越多越可以进行暴力破解,可省略该步骤)
如图所示,两个包中有一处不同。
- burp中的repeater进行重放测试,测试该网站是否阻止暴力破解。
多次go之后发现,服务器返回的长度和内容都没有发生变化,可以进行暴力破解。
4.burp中的intruder选择爆破点的位置,并打开payload选项卡,选择payload type和爆破的范围。
先使用clear进行清除爆破点,选中密码使用add进行添加爆破点。
payload type中选择数字类型以及开始范围。
5.开始爆破
爆破过程中发现密码为69时包的长度与其他包的长度不一样,可以猜测69为正确密码。打开69的response可以看到you got it,密码正确。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
