6.brup爆破
一般直接到intruder,以下是学习过程中所学习的
在暴力破解中,重要的寻找好的字典
https://github.com/rootphantomer/Blasting_dictionary/blob/master/常用密码.txt
实验步骤:
1.设置burp的监听端口和设置浏览器代理(设置完成brup才能抓取包)

2.抓取该网站两个包,用burp中的comparer进行比对两个包(一般相同越多越可以进行暴力破解,可省略该步骤)
如图所示,两个包中有一处不同。

  1. burp中的repeater进行重放测试,测试该网站是否阻止暴力破解。
    多次go之后发现,服务器返回的长度和内容都没有发生变化,可以进行暴力破解。

4.burp中的intruder选择爆破点的位置,并打开payload选项卡,选择payload type和爆破的范围。
先使用clear进行清除爆破点,选中密码使用add进行添加爆破点。
payload type中选择数字类型以及开始范围。

5.开始爆破
爆破过程中发现密码为69时包的长度与其他包的长度不一样,可以猜测69为正确密码。打开69的response可以看到you got it,密码正确。

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐