配置环境

然后用谷歌浏览器的插件switchy插件切换代理端口

用Burp Suite 爆破web密码

  1. 准备发包,开启监听

  2. 确定爆破字段

  3. 右键包发送至 intruder

  4. 选择攻击模式

  5. Payloud Set 攻击模式

  6. 设置字典

  7. 以length区分不同,并查看详情寻找welcome

攻击模式介绍

Sniper:用于只爆破一个字段

Batter ram:用相同的值(字典)测试多个字段

例如: 尝试1尝试2.。。。

​ username aaa ttt

​ paseword aaa ttt

Pitchfork:

分别以不同的字典测试相应的字段

​ 使用场景:假设搞到了一个数据库,验证其用户名和密码能否匹配

例如: username aaa rrr

​ paseword 123 111

Cluster bomb:

贼nb,交叉验证,暴力枚举

若有10个用户名10个密码至少会发生10*10次请求,先把第一个用户名固定住,试完十个密码,再换用第二个用户名,以此类推

密码破解工具:

hydre 九头蛇密码破解

Proxy模块

Http hestory介绍

Burp 应用场景

  1. HTTP服务端接口测试
  2. HTTP客户机和HTTP服务端通信测试
  3. Cookie统计分析
  4. HTTP服务器WEB安全扫描
  5. WEB页面爬取
  6. WEB常用编码和解码
  7. 字符串随机性简单分析
  8. 文件差异对比分析