Burp Suite暴力破解表单账密步骤

简介: Burp Suite暴力破解表单账密步骤

最近在pikachu靶场练习暴力破解账号和密码,遇到几个问题,经过反复琢磨测试,一一得到解决。现与大家分享一下,希望对您有所启发和帮助。

   我的虚拟机系统是Kali Linux,工具是Burp Suite_pro,受害者虚拟机系统Win2008 R2,平台是phpstudypro,靶场是pikachu,浏览器是火狐Firefox。

一、打开浏览器,进入pikachu漏洞平台。

在浏览器地址栏输入:http://192.168.31.77/pikachu (备注:此IP地址是漏洞平台pikachu网址),进入暴力破解基于表单的暴力破解模块。

image.png

二、打开Burp软件,设置好Proxy功能模块Options选项Proxy Listeners监听端口(127.0.0.1:8080)。进入Intercept选项,按钮Intercept is on状态,回到pikachu平台,在表单暴力破解输入用户名和密码,我这里输入admin,123。Burp抓请求包如下图:

image.png

三、在空白处点击右键然后点击Send to Intruder。进入Intruder功能模块Position选项,点击右侧Clear$按钮。

image.png

四、分别选中用户名:admin,密码:123,点击右侧Add$按钮。强调一下,此处Attack type 要选择Cluster bomb,不是缺省Sniper。否则Payloads数量不会出现2个。

image.png

五、然后点击Payloads选项,【1】Payload set :1,Payload type :Simple list,【2】Payload Options[Simple list],此项加载爆破用的用户名字典文件,或者直接键盘输入(Add按钮)。【3】Payload set :2,Payload type :Simple list,【5】Payload Options[Simple list],此项加载爆破用的用户密码字典文件,也可以键盘输入(同上)。

image.png
image.png

六、然后点击Start attack按钮,开始爆破。

image.png

爆破结果查看Length长度判断是否爆破成功。此例爆破成功,用户名admin,密码123456。好了,希望看到此文的朋友对你有所帮助和启发。感谢分享!欢迎批评指正!

相关文章
|
1月前
|
网络安全 数据安全/隐私保护 安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(二)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(二)
|
1月前
|
Web App开发 测试技术 网络安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(一)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(一)
|
6月前
|
SQL 前端开发 安全
使用 BurpSuite 绕过验证码实施表单
使用 BurpSuite 绕过验证码实施表单
使用 BurpSuite 绕过验证码实施表单
|
6月前
|
安全 网络安全
谁还不会安装Burp Suite?
谁还不会安装Burp Suite?
|
11月前
|
Java Linux 数据安全/隐私保护
Burp Suite的使用(常用模块)
Burp Suite的使用(常用模块)
201 1
|
Web App开发
chrome浏览器 导入burp证书 失败 无法抓包
chrome浏览器 导入burp证书 失败 无法抓包
464 0
burp intruder 模块bug 导致无法爆破
burp intruder 模块bug 导致无法爆破
53 0
|
安全 Java
Burp Suite应用分享之Web漏洞扫描
Burp Suite应用分享之Web漏洞扫描
|
测试技术
Burp suite无法拦截127.0.0.0数据包的解决方案
Burp suite无法拦截127.0.0.0数据包的解决方案
533 0
Yii2.0如何防止CSRF攻击?具体步骤是怎样的?
Yii2.0如何防止CSRF攻击?具体步骤是怎样的?
149 0