1.找到存在暴力破解漏洞的登录端口。
2.打开提前下好的burpsuit。
3打开浏览器的更改代理器服务设计,并进行LAN设置为LAN使用代理服务器,进行地址和端口的更改,
本地地址一般为127.0.0.1
4.接下来在浏览器访问pikachu
5.打开暴力破解基于表单的暴力破解尝试着输入账号密码,随后到burpsuit查看抓包。
选择列表中抓到的请求右键点击send to intruder
6.inruder>>position
选择需要碰撞的变量
添加
7.攻击方式选择cluster bomb,此攻击方式效率更高。也可以选择其他三个。
8变量payload 1 . 2分别在select file选择对应的字典.
9.为了更好的通过碰撞结果中选择需要正确的碰撞,我们将从登陆端口复制过来的登陆失败提示复制粘贴到option>>Grep-match中并添加,grep-match功能可以用来标记出现此登陆失败提示的碰撞结果,那么没有此提示的碰撞结果自然就是我们要找的。
10。点击star attack开始碰撞
11
11.可以看见正确的碰撞结果被放在开头。这或许就是我们要找的碰撞结果。
12重新回到登陆端口输入相应碰撞出来的账号和密码
登陆成功。
pikachu暴力破解演示及burpsuit使用教程重现
猜你喜欢
转载自blog.csdn.net/weixin_44720762/article/details/88622904
今日推荐
周排行