burpsuite实战指南
作者/@t0data(推荐这本书来读)
个人使用笔记:
1:模块的简单使用(破解优酷视频密码为例)
a.申请了一个测试账户,设置视频密码为‘3234’
b.打开burpsuite,设置代理,同时在自己浏览器中设置代理(截图待会上传)
c.打开网页,在密码输入框中填写‘2234’,
d.打开Burp suite,我这边刚开始选择burpsuite的截断功能设为OFF,我在历史记录中寻找到刚刚输入的数据
e:选择之后,右键,选择send to intruder (截图不会上传)
f:选择 Intruder 选项下的 target选择,可以看到相关的网站信息数据(截图待会上传)
g:选择 Positions 子选项卡,使用右边的 Clear Add来选中要修改的部分,在这里我们只选择pwd这一项 type 我们选择Snipper这一项,具体是什么意思,详细查看上文提到的使用指南,这里简单介绍一下(以后也不介绍)
h:切到 Payloads 子选项,本次我们只需要修改一个参数pwd,因此这里的payloads只有一个。我们的payload是密码,我们可以根据左边的 load 导入字典,(在这里,我们只做测试实验使用),字典里边只有四个密码 :
i:切到 Options 选项卡,将Match选项设置为如下图所示:
j:选择 intruder 下的 start attack,开始攻击:
k:结果如下,根据 Length 找到密码
点击下边的的 Request 下的 Response 选项,查看具体信息。
