前提:
下载安装包,我已经放在了百度网盘中版本为windowsX64 2.7.0,有需要的可以去地址下载:https://pan.baidu.com/s/1S4yDP7aFiEzSO41c_817vQ
由于ZAP工具是基于java的,所以电脑必须安装并配置jdk环境,我安装的是1.8.0;
安装和使用:
安装包是.exe的,一路Next即可,打开后样子如下:
我是在本机搭建了测试环境,本机即站点,所以要设置浏览器代理和ZAP代理,同时设置为127.0.0.1,端口号一致即可;
ZAP设置代理: 工具》选项
然后选择 Local Proxies,输入ip地址和端口号,点击OK按钮 即可;
在浏览器中进行访问本站点的网址(不可以写localhost或者127.0.0.1,要写对应的ip地址)并登陆,ZAP就可以抓到包;
在登陆url中右键,选择 Fuzz...
将需要替换的文本替换为字典后,点击 Start Fuzzer按钮,就开始进行了暴力破解;
暴力破解完成后,可以对响应的body体进行排序,一般情况下都是错误的返回,大小一致,找到不一样大小响应的请求,即为正确的用户和密码;
