版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
新手教程之burp suite爆破弱密码
burp suite的使用教程今天先不讲,之后我会搞一期功能合集,详细讲解用法,今天单独讲解爆破弱密码的使用。
使用该爆破模式存在诸多前提,列如不能存在绕不过的验证码,或者目标网站有访问频率限制,或者目标网站密码错误次数有限制等等都很难使用爆破,具体情况自己判断,或者留言我帮忙看一下。
1,首先打开burp suite(以下统一称为burp,这名字太长,懒得打字),然后将网站打开到登录界面,burp开启拦截模式,输入账号密码,点击登录,即可抓到目标封包。
2,右击发送给测试器。
3,测试器设置,位置选项设置攻击类型,单个参数设置狙击手,多个参数设置集束炸弹。
4,参数设置如下,先点击参数清除,然后长按鼠标左键选中参数,右方点击添加参数即可。多个参数的话,多次选中添加即可。
5,有效负荷里选择简单清单,然后将准备好的字典粘贴到下方就可以。有效负载集代表参数序号。
6,最后设置请求速率就可以,线程数自己设置,看你字典大小,以后网站能返回结果的速度,我最高尝试过50,不过服务器就会返回类似于500这样的错误。设置好之后点击右上角的开始攻击就ok。
7,如何判断正确密码呢?将返回的结果按照长度排序,那个长度不一样的请求里面带的参数就是正确密码。(此处盗图,自己懒得再跑一遍了)
至此,一份完整的burp suite爆破密码的教程结束,有任何疑问可私信博主或者留言,看到即给予解答。