!!!笔记仅供学习交流使用,请勿进行其他用途!!!
CONTENTS
Kali:
在Kali上附带了burpsuite,可以直接打开。如下图:
首先确认下burpsuite的代理,如下图:
然后设置浏览器的上网代理,这样浏览器就会通过burpsuite来上网,如下图:
当浏览器使用了burpsuite做代理之后,可以先把burpsuite的截断功能设为OFF,防止网络中断。如下图:
搞定之后,我们就可以访问目标网站了,先用个错误的用户名和密码来试下。
由于我们把截断功能关了,这里可以通过查看历史记录来获得数据,也可以打开截断功能,单步走到登录数据。
找到了登录数据之后,我们把数据发送到【 intruder 】:
然后我们可以切换到【 Intruder 】选项卡,可以发现登录数据已经导入过来了:
我们切到【 Positions 】子选项卡,使用右边的【 Add 】【 Clear 】来选中要修改的部分,这里就是 用户名 和 密码 两个部分需要修改。
切到【 Payloads 】子选项卡,由于在上一步中设置了两个需要修改的部分,因此这里的payloads有两个。
第一个payload是用户名,我们可以根据左边的几个按钮导入字典,这里简单起见,我们就输入了4个用户名:
密码payload:
切到【 Options 】选项卡,将Match选项设置为如下图所示:
好了,开始攻击了。
攻击结果如下图,可以看到,根据Length和我们上面的Match,已经找到了用户名和密码。
我们可以使用下面的【Request】【Response】选项卡,来更详细的浏览每次攻击的信息。
备注:
burpsuite非常强大,有商业版和社区版可以选择,作者也是初学者,有问题还请路过的各位大牛指正。
burpsuite是以jar包形势分发的,因此在window上也是可以运行的。
发表评论