用burpsuit对网页上的一些用户名密码之类的爆破
这里就用墨者学院文件包含那道题的那个登录页面吧…
设置代理 先用burp抓取
黑色圈住的就是用户名和密码的函数(应该是叫函数吧…..) 红色圈住的就是之前自己输入的账号和密码
能看到是明文密码 然后send to intruder
这里他实现标记了要爆破的位置 不是我们要爆破的位置 我们先用上边的clear把标记清除
然后选中要爆破的地址 这里都是admin前边那个是我输入的账号后边的是密码 然后点击add分别添加
在attack type那里选择cluster bomb
转到payloads那边
看到payload set 右边下拉发现有1,2分别是我们刚刚添加的两个地址
下边方框右边的add是手动添加账号密码 有字典的话点load载入字典
添加完成后选择intruder→start attack
然后找到length里边那个长度不一样的就是我们要的账号密码