1 Burpsuit 安装
1、在WIN 客户端桌面下的Brupsuit目录下执行burpsuit-load-kegen.jar包/
2、点击run
3、点击manual activation
4、安装箭头的方向复制,点解nex1 .11t,安装完成
2 Burps1uit暴力破解http账户密码
1、设置浏览器代理(以火狐浏览器为例),意思是http协议的包都先发到127.0.0.1的8888端口/打开火狐浏览器的设置,在搜索框中输入代理服务器
2、设置burpsuit的代理,开启127.0.0.1:8888,接收发来的http协议报文
3、设置Burpsuit监听端口
4、使用火狐浏览器登陆网站的登陆界面,如server-u登陆界面,输入账户密码后暂时不点击登陆
5、开启brupsuit截断,并在server-u登陆界面登陆
6、截断到包含用户密码的http post请求后,右键,选择send to intruder
7、到intruder界面上选择需要爆破的参数,这里需要同时爆破用户名和密码,使用$$包住
8、先选择playload1 设置用户名参数
9、选择playload2,设置密码参数
10、点击start attack ,根据length判断,admin 123456 的length最特殊,故破解成功