渗透测试-爆破
burpsuite 穷举后台密码
一、 配置
1、在火狐安装FoxyProxy插件,填写127.0.0.1 8080,
开启poxy代理,bp就可以控制火狐的代理了
打开靶机界面
url:http://www.c1moon.com/admin/,找到有注册登录框界面
二、打开Burpsuit
打开bp,这是一个放行的界面,off是放行,on是拦截,把off点击成on进行拦截
填写登陆账号密码,点击登录
三、 发送到instruder
在bp收到了拦截请求头,右键send to intruder
三、position清除参数
把绿色自动标注的参数,右键clear清除
四、更改密码参数
只需要更改密码,点击add变成参数
更改成$aaa
五、添加字典
在payload里面添加字典,字典top1000.txt
字典链接放这
链接:https://pan.baidu.com/s/1x4R5J4VP5d4rssiuYPwBlg
提取码:y44y
六、点击start-attack
显示长度不一的和Response显示302就有可能是正确的密码,即可去验证;