最近经常有人在群里问我或者问别人找到的后台怎么办,很简单,你只需要一个burp和一个牛逼的字典就可以了,下面我来教大家如何去使用burp爆破。
第一步:配置burp
这一步我想大家应该都会,如果这一步还有不了解的可以看公众号的这个文章点击笑脸进入^_^,配置好了burp我们打开我们的目标后台,进行下一步。
第二步:拦截
在打开的网站后台中随意输入用户或者密码,然后点击登陆,可以看到burp拦截到的信息,如下图:
可以看到拦截中有明码的数字,这个时候就可以进行下一步了。
第三步:设置变量
点击上方的action,选中ctrl+I这个选项,如下图:
然后上面的intruder会亮起来,这个时候我们点击进入,然后点击右手边的clear,目的是清楚默认设置的变量,然后选中帐号或者密码,选中后面的明文数字,你需要爆破帐号就选中帐号,需要密码就选择密码,然后点击右边的add,目的是将帐号或者密码变为可替换变换的变量,然后选择上面下拉列表的最后一个,意思是爆破模式,具体如下图。
第三步:配置字典文件
点击上面的Payloads,点击下面的load添加字典文件,一般为txt格式,如果你设置了两个变量就要在给第二个变量导入变量2需要用的字典,下图第二个箭头就是选择变量1或2,然后给1或2分别添加字典。
随后我们点击start attack开始爆破就好了。
第四步:判断结果
最后就是判断结果了,如下图后面都是数字714,因为我这里就是给大家做个截图所以没有真的爆破,如何判断哪一个是正确的呢,一般714那一排数字有不一样的那一个那就是正确的或者前面数字不是302而是200的也可能是正确的,然后自己输入爆破成功的密码就好了。
好了本期教程就到这里,burp的下载地址我再给大家一下吧。
链接:https://pan.baidu.com/s/1vvNbaHqkYV35BbhHJCVVaw
提取码:7e2j
有钱给钱赞赏,没钱,呵呵,叫大哥!