burp爆破的前提条件是该网站账号密码没有进行加密而是明文,且验证码可以重复使用,如下图数据包中直接显示账号与密码且验证码不需要重复提交(此处需要自己使用burp进行测试)
1.进入burp,监听浏览器
2.打开网站输入账号,密码,验证码点击登录抓取数据包,将数据包发送到intruder中
3.Intruder —> Positions 单击Clear , 选中账号—> Add
选中密码->Add,选择爆破模式:Cluster bomb(若有两处选择Cluster bomb,一处则选择Sniper)
4.选择payloads
5.在payload中添加字典,也可以使用load导入txt文件(文件中存放好字典)
6.进行爆破
返回结果如图所示,状态码200表示访问成功,返回长度若有一条与其他数据有很大差别则大概率为正确的账号密码