測試靶機:dvwa
瀏覽器開啟代理,使用burpsuite攔截:
並將攔截到的內容發送到intruder進行暴力破解
右邊的Add$和Clear$都是選擇爆破范圍的操作,一個是選擇,一個是清除,這里只選擇用戶名和密碼
爆破類型選擇最后一項,可以加載兩個字典針對性爆破
加載payload,這里就要用到字典。burp有自帶字典,也可以載入我們自己的字典(兩個payload兩個字典)
點擊開始爆破:
稍等時間返回結果,返回數值和其他都不同的就是用戶名和密碼了
這里報出來兩個用戶名和密碼,驗證都可用(每個人結果因字典差異不同)
登陸成功