burp爆破

 · 2019-12-19  ·次阅读


用burpsuit对网页上的一些用户名密码之类的爆破

这里就用墨者学院文件包含那道题的那个登录页面吧…

QQ截图20191219235640

设置代理 先用burp抓取

QQ截图20191219235847

黑色圈住的就是用户名和密码的函数(应该是叫函数吧…..) 红色圈住的就是之前自己输入的账号和密码

能看到是明文密码 然后send to intruder

QQ截图20191220000053

这里他实现标记了要爆破的位置 不是我们要爆破的位置 我们先用上边的clear把标记清除

QQ截图20191220000358

然后选中要爆破的地址 这里都是admin前边那个是我输入的账号后边的是密码 然后点击add分别添加

QQ截图20191220000524

在attack type那里选择cluster bomb

QQ截图20191220000929

转到payloads那边

QQ截图20191220001013

看到payload set 右边下拉发现有1,2分别是我们刚刚添加的两个地址

下边方框右边的add是手动添加账号密码 有字典的话点load载入字典

添加完成后选择intruder→start attack

QQ截图20191220001248

然后找到length里边那个长度不一样的就是我们要的账号密码