神器:burpsuite
閑話不多說,直接開搞
1.打開文件BurpLoader.jar,進入Proxy--Options,啟用代理
2.打開瀏覽器(IE),進入Internet選項-連接-局域網設置,勾選代理服務器,地址、端口與第一步設置的保持一致
3.在進入注冊頁前確保Proxy--Intercept中的設置“Intercept is off”,否則頁面訪問會有問題
4.進入目標頁,好了,重頭戲來了-------前方高能
將第三步的“Intercept is off”點擊切換為“Intercept is on”
5.“Intercept is on”設置完成后,點擊發出請求操作,burpsuite就會抓取請求信息,在攔截到的文本信息區域,點擊右鍵--send to Intruder
6.切換Burpsuite標簽到Intruder,Target設置默認不用修改,點擊Positions,有黃色標記的很多文本,點擊右側的Clear,清除默認參數
7.清除完默認參數后,選中目標參數的值“1234”,點擊右側的Add,將數字參數化
8.參數化完成后,點擊Payloads,在Payload Options中點擊Load,加載參數文件(提前將所有組合的可能寫入一個txt文件中)
9.點擊Options,設置線程數15,重試次數1
10.執行到這一步,設置已經完成,點擊菜單欄Intruder--Start attack,暴力破解開始,payloads中的所有組合會被一次執行,查看返回數據的Status,Length,可知道有效的參數,並自動提交完成