用Burpsuite破解網站密碼

切換至proxy選項卡的Option選項下，設置代理地址和端口：127.0.0.1:8080。

啟動剛剛設置的代理

打開Internet Properties，依次選擇：Connections ->LAN Settings ->Proxy Server.分別輸入127.0.0.1和8080。如圖所示。

找一個目標網址為

點擊“登錄”時，出現的是一個彈出窗口，為了找到真正的登錄網址，我們點擊“免費注冊”。

點擊旁邊的“登錄”，隨便輸入一個賬號，密碼輸入“123456”。（先不點擊登錄按鈕）

選擇Proxy選項卡下的“Intercept”選項，點擊“Intercept is off”按鈕，按鈕會變成“Intercept is on”

打開前面的登陸頁面，點擊“登錄”按鈕。

此時我們會在Burpsuite下看見剛剛截取到的數據包。可以看到我們剛剛輸入的用戶名和關鍵字。

在文字區域內單擊右鍵，選擇“Send to Intrder”

切換到Intruder選項卡下，選擇“Target”，設置主機地址以及端口號，端口號默認是80，假如網站使用的是HTTPS協議的話就勾選下方的“Use HTTPS”切換到443端口（SSL）

切換到Positions選項，點擊右邊的“Clear $”按鈕，清除所有默認參數。

鼠標選中username后邊的文字（我們輸入的用戶名），點擊“Add $”按鈕。

切換到“Payloads”選項，選擇要使用的“Payload type”，這里我們選擇“Simple list”。

在下方的“Add from list”中選擇一種密碼，這里我們選擇“8 letter words”。

切換到“Options”選項卡下，設置線程數和其他參數，如下圖所示。

點擊菜單欄的“Intruder”，選擇“Start attack”

掃描到差不多的時候，我們按Length（長度）大小排序。這是我們會看到幾種不同的數據包，許多一樣的，還有幾個數據包很大的基本就是正確的了。

選擇其中一個較小的數據包，點擊下方的“Response”，會看見有提示“用戶名或密碼錯”

同理，我們再選擇一個較大的數據包，這是，我們會看見下方並沒有提示“用戶名或密碼錯誤”，

當我再重新打開登錄頁面時發現已經進不去了

初步猜測應該是IP被網站封了，所以我們換一個IP登錄試試。我用手機流量開熱點鏈接電腦，這時再去打開網頁時果然顯示出來了。

輸入我們剛剛獲得的用戶名（這里以merchant為例）以及密碼123456。然后點擊登錄。

成功登錄

注意事項

1.網絡安全確實是個很大的問題，所以我們在上網時盡量不要泄露太多個人的信息。

2.在網站注冊賬號時密碼不要設置得太簡單。因為一些網站對於暴力破解並沒有進行特別的防御。