burp抓包
发送给攻击模块
假设已知账号,选中password和token作为关键词,
攻击类型选择pitchfork
payload set 1选择简单列表load弱口令字典
调整输入时间
配置
Grep-extract目的为了token刷新,选中token值,点击ok
Redirction改为always
配置payload 2,将刚刚复制的token粘贴进去(红)
开始攻击(start attack)
因为是在破解过程中,所以第一个会有变化,可知第二个就是password
impossible操作一样,不过增加了对失误后15s不许登录的限制