【笔记】Burp爆破网站登录密码
前言
Burp爆破网站GET请求的登录密码
本文仅用于网络信息防御学习
准备工作
密码字典
系统网络代理设置为Burp的代理
爆破密码
先在网站中发送登陆请求,密码随意
将Burp拦截到的请求转发到
Intruder
- 在
Intruder的Positions中定义密码为变量
- 在
Intruder的Payloads中的Payload Options中添加变量字典->Start attack->根据响应的数据长度判定正确密码
同时爆破用户名和密码
先在网站中发送登陆请求,用户名和密码随意
将Burp拦截到的请求转发到
Intruder
- 将
Attack type设置为Cluster bomb->在Intruder的Positions中定义用户名和密码为变量
- 在
Intruder的Payloads中的Payload set中的Payload set选项设置为1->在Intruder的Payloads中的Payload Options中添加变量字典
- 在
Intruder的Payloads中的Payload set中的Payload set选项设置为1->在Intruder的Payloads中的Payload Options中添加变量字典
Start attack->根据响应的数据长度判定正确密码
