一、绕过前端限制

1、抓包
 
2、分析接口,上限20字符
3、修改参数:增加长度超过 20
注意:接口 15s 会超时,需要在 15s 内操作完毕
 
拓展:
参数修改成其他格式email=<img src=x onerror=alert(8905)>
 

二、暴力破解登录密码

1、抓包-登录接口
2、右键-Send to Intruder
3、进入 Intruder
(1)Positions -> attack type 选择 Sniper(爆破模式)
(2)清空默认的爆破参数,设置指定的爆破参数 password
(3)Payloads 选择弱口令密码文档
(4)点击 Start attack 开始爆破
错误情况
破解成功
 

三、Repeater 重放请求

1、目标网站搜索内容,搜索成功后,复制完整链接
2、打开 Burpsuite
(1)Repeater,右键- Paste URL as request
(2)点击 Send
(3)重放成功
(4)修改参数,重新发送请求成功
 

 

 

参考: 

 https://zhishihezi.net/b/03c82a3d82cdf5a1d066e0e2423e48dd#start

posted on 2021-03-17 16:57  guoccf  阅读(130)  评论(0编辑  收藏  举报