burp suite的intruder模块用来自动探测Web应用程序,我们可以用它来暴力猜解用户名和密码。首先准备用户名和密码字典,这个网上可以用csdn、天涯、人人等泄露的用户名和密码,也可以用字典工具自己生成,超级木头这款工具还是很好用的

首先我们抓到登陆网站的post包,IE设置代理服务器,用burp suite即可。有关burp suite的使用方法可参考

抓取的post包如图:

探测网站(四)burp suite暴力猜解密码




,可以点击该报查看一下具体信息,右击该post包,点击send to intruder。开始进入intruder界面:


探测网站(四)burp suite暴力猜解密码



图中红色的部分是软件自动探测出来的动态的数据,可以选择取消,也可以添加,这些动态的数据可以动态地在我们的字典里加载,提交给服务器。

这里只留下username和password,其余取消动态加载,如图:

探测网站(四)burp suite暴力猜解密码



之后选择payload(载荷模块),载入我们的字典,

探测网站(四)burp suite暴力猜解密码


 (字典是需要我们手动生成的) ,载入完成后,我们可以在左侧看到字典内容列表。 之后可以暴力破解了,点击intruder—>start attack,

探测网站(四)burp suite暴力猜解密码



 进入运行界面,我们可以看到每一次的破解结果,可以根据返回的数据内容来判断是否登录成功,不过一般Web服务器会设置限制次数,多次失败的登录可能导致IP 被封。结果截图

探测网站(四)burp suite暴力猜解密码