测试靶机:dvwa
浏览器开启代理,使用burpsuite拦截:
并将拦截到的内容发送到intruder进行暴力破解
右边的Add$和Clear$都是选择爆破范围的操作,一个是选择,一个是清除,这里只选择用户名和密码
爆破类型选择最后一项,可以加载两个字典针对性爆破
加载payload,这里就要用到字典。burp有自带字典,也可以载入我们自己的字典(两个payload两个字典)
点击开始爆破:
稍等时间返回结果,返回数值和其他都不同的就是用户名和密码了
这里报出来两个用户名和密码,验证都可用(每个人结果因字典差异不同)
登陆成功