burpsuite_pro_v2023.9 实现对带token的网站穷举
- 前提:登陆时,值带有token验证,解决方案,发包前首先获取token,再匹配账号密码
- 使用brupsuit进行抓包,并发送到拦截器
- 将其都设置为变量,并将攻击类型“Attack type”改为"Pitchfork",
- 设置重定向"Redirections"为"Always"
- 选中"Extract the following items from responses"-->add
- 点击"Refetch response" 选中token值,点击ok。
- 线程设置为1
- 第一个参数,设置为Simple list,并导入字典
- 第2个参数设置模式为Recursive grep 模式,如下图填写,最后点击"Start attack".
- 按照长度排序,密码为“password”,完成穷举
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· AI 智能体引爆开源社区「GitHub 热点速览」
· 三行代码完成国际化适配,妙~啊~
· .NET Core 中如何实现缓存的预热?