type
status
date
slug
summary
tags
category
icon
password
@ZZHow(ZZHow1024)
(以Chrome浏览器为例)
含义:暴力破解! 爆破!
思路:简单粗暴,跑字典,试密码。
实操:
一、Low 级(基本没有做防护或者只是最简单的防护)
2.启动“Burp Suite”,并切换至”Proxy”—“Intercept”
- 确认第3个按钮为“Intercept is on”
- 提示,若出现页面一直加载不出来,那么很可能请求加载当前页面时被Burp Suite抓包了,请你点击“Forward”放包。
3.Username填写“admin”,密码填写“123”(假设知道用户名,不知道密码)
- 点击“Login”按钮
4.回到“Burp Suite”
- 在文本框内右键鼠标,点击“Send to Intruder”
5.切换至”Intruder”—“Positions”
- 点击右侧Clearξ
- 划选上password=123的“123”
- 点击Addξ(”§123§”会变绿)
- 切换至“Payloads”
- 在“Payload Options”中点击“Load …”
- 选择你的字典添加进来
- 点击右上方“Start attack”开始爆破!
6.筛选数据
- 这里”password”对应的数据Length明显长于其他密码返回的数据Length
- 下方窗口切换至“Response” — “Render”,发现“Welcome to the password protected area admin”,证明密码为”password“。
