burpsuite實戰指南
作者/@t0data(推薦這本書來讀)
個人使用筆記:
1:模塊的簡單使用(破解優酷視頻密碼為例)
a.申請了一個測試賬戶,設置視頻密碼為‘3234’
b.打開burpsuite,設置代理,同時在自己瀏覽器中設置代理(截圖待會上傳)
c.打開網頁,在密碼輸入框中填寫‘2234’,
d.打開Burp suite,我這邊剛開始選擇burpsuite的截斷功能設為OFF,我在歷史記錄中尋找到剛剛輸入的數據
e:選擇之后,右鍵,選擇send to intruder (截圖不會上傳)
f:選擇 Intruder 選項下的 target選擇,可以看到相關的網站信息數據(截圖待會上傳)
g:選擇 Positions 子選項卡,使用右邊的? Clear Add來選中要修改的部分,在這里我們只選擇pwd這一項? ? type 我們選擇Snipper這一項,具體是什么意思,詳細查看上文提到的使用指南,這里簡單介紹一下(以后也不介紹)
h:切到 Payloads 子選項,本次我們只需要修改一個參數pwd,因此這里的payloads只有一個。我們的payload是密碼,我們可以根據左邊的 load 導入字典,(在這里,我們只做測試實驗使用),字典里邊只有四個密碼 :
i:切到? Options 選項卡,將Match選項設置為如下圖所示:
j:選擇? intruder? 下的? start attack,開始攻擊:
k:結果如下,根據 Length? 找到密碼
點擊下邊的的 Request 下的? Response 選項,查看具體信息。
