(實驗開始前要把網頁選項裡的伺服器設定成代理伺服器,我們的burpsuite就相當于一個代理伺服器)這點可以百度
首先我們的目标是某大學的教務系統,打開登入界面:
我們先試着輸入密碼123456(亂猜的),burpsuite也捕捉到了資料包:(這裡要注意收到包後然後要放包,你才能在網站上接受到資料,顯示下一步)
在positions中選中要破解的pwd:
在payload中引入我們已經建立好的字典,點選start attack,開始攻擊!
我們看到傳回封包的長度就可以輕松判别密碼是最與衆不同的那個。(已經對密碼打馬賽克)
今天的内容比較簡單,多複習就好!