本文介绍了如何利用Burp Suite对未加密的网站进行爆破攻击。内容包括设置Burp监听、捕获登录数据包、在Intruder中定位账号和密码字段、选择爆破模式、载入字典文件并执行爆破,以及通过状态码和返回长度判断正确账号密码的方法。
burp爆破的前提条件是该网站账号密码没有进行加密而是明文,且验证码可以重复使用,如下图数据包中直接显示账号与密码且验证码不需要重复提交(此处需要自己使用burp进行测试)
1.进入burp,监听浏览器
2.打开网站输入账号,密码,验证码点击登录抓取数据包,将数据包发送到intruder中
3.Intruder —> Positions 单击Clear , 选中账号—> Add
选中密码->Add,选择爆破模式:Cluster bomb(若有两处选择Cluster bomb,一处则选择Sniper)
4.选择payloads
5.在payload中添加字典,也可以使用load导入txt文件(文件中存放好字典)
6.进行爆破
返回结果如图所示,状态码200表示访问成功,返回长度若有一条与其他数据有很大差别
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
