DVWA Brute Force (High) 之利用Burp爆破Token

1.设置Burp代理  然后将数据包发送到Intruder

 

 

并将Password和Token的值定义了目标  Attact type设置为 Pitchfork

 

 

2.修改Number of threats的值：

 

3.下拉，并找到Grep--Extrace  点击Add

 

4.进入之后点击Fetch response,就可以获得到数据包信息

 

5.找到Token值  直接选取需要提取的字符串，上面的会自动填入数据的起始和结束标识。然后点击 OK

 

6.返回payloads栏，payload 1 设置密码字典，payload 2 选择payload type为“Recursive grep”，然后选择下面的extract grep项即可(下面需要带上Token值)。 然后<Start attack>

 

（1）payloads 1中导入字典密码

（2）payloads 2中设置为Recursive grep  

 

 

 

并将Fetch response之后的Token值放到下面的request里面去

 

最后点击Start attack！！！！ 

 

就可以看到下图的最终效果！