基於表單的暴力破解:
1.隨便輸入一個賬戶和密碼,然后我們觀察bp抓到的包。我們發現提交的請求是一個POST請求,賬號是tt,密碼是ttt,沒有驗證碼的因素。所以基本上可以確認此接口可以做暴力破解。
2.將抓到的包發送到Intruder模塊
3.在Intruder模塊中,先將默認的變量進行清除
4.將要進行破解的地方設置成動態變量,我們將賬號和密碼設置成動態變量
5.在payloads中進行設置
6.Options中設置
7.在這里我們使用的是cluster Bomb
8.設置payloads
9.然后點擊Intruder選項中的Start attack,開始攻擊
10.我們發現賬號為admin密碼為123456的長度與其他長度不同,
11.我們用賬號為admin密碼為123456進行登錄,顯示登陸成功。我們得到的了正確的賬號和密碼
