pikachu--基于表单的暴力破解

文章内容简介：运用burpsuit工具，实现对pikachu靶场的基于表单的暴力破解

 

一、在账号已知的情况下，对密码进行暴力破解

 

 

 

 

 

 

 

 

二、准备好含有正确密码的字典，以备后面的暴力破解

 

 

 

 三、设置浏览器中的代理

 

 

 

 四、用burpsuit拦截到密码

 

 五、打开burpsuit中的Intruder

 

 

六、选中密码部分

 

 

 七、选择载荷和密码字典，点击开始攻击

 

 

 

 八、找到长度返回不一样的密码值，考虑是正确的密码

 

 

 九、添加“login success”的表格

 

 

十、查看到有符合的选项

十一、点击到该对应的密码中查看，确实有返回到“login success”

 

 

 

 

 总结：基于表单的暴力破解，这样的破解较为简单，且在本文章中演示的还是账号已知的情况，实际情况要更加的困难。在使用burpsuit的时候，很多网站会有所察觉，所以并不一定能用burpsuit进行抓包，所以在实际的过程中，面临的问题往往是更加多的。