准备工作：

1）安装好burp suite，安装过程不做详细介绍，下载链接：https://download.csdn.net/download/weixin_42119967/14802557

附上，若双击启动无效，可以采用命令方式启动，命令如下：

cd C:\Users\ASUS\Desktop\课程实训\bao\抓包分析\BS

说明：进入burp suite的所在文件夹
java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar

说明：启动burpsuite
另启动jar命令：java -jar xxx.jar

说明：可以在安装时，用来单独启动burp-loader-keygen.jar

2）搭建测试网站，我使用的是wampserver，具体安装这里就不做详细介绍

*1.搭建用于测试的网站*

*2.登录超级管理员账号，查看信息*

*3.打开* *Firefox 火狐浏览器*

点击最右侧的菜单，选择【选项】，然后设置本地浏览器使用代理服务器，此处我们使用本机【127.0.0.1：8080】

需要注意在的是，有些时候本地访问将不通过带来，也就意味着，burp无法拦截本地数据包。

解决方法是：火狐浏览器-->打开设置-->将about:preferences改为about:config-->在访问后的搜索框内搜索 network.proxy.allow_hijacking_localhost，将值改为true

*4.**打开Brup工具选择，【Proxy -> Options -> Edit】配置本机的代理，这里我们就默认参数就好*

*5.**利用burpsuite爆破的几个步骤，开启代理，添加变量，加载字典，开始攻击。*

*抓包情况，如下：*

*6.**现在通过intruder进行暴力破解的设置：选中密码设置其成为变量，其他变量清除。*

在Brup的空白位置右键，选择【Send to Intruder】发送到爆破模块中，然后会看到【Intruder】

标签变亮了，我们直接点过去。

*7.**接着我们点击【Intruder】然后选择【Positions】模块，第一步先清空特殊符号，然后在需要爆破的字段上添加特殊符号，将账号密码括起来*

*8.**加载字典*

*9.**开始攻击并查看结果*

*10.**正确密码的长度和其他结果的长度不一样*

11. *使用我们爆破出的用户名密码，顺利的登陆到了网站的后台*

burp密码暴力破解相关推荐

1. 使用burp进行暴力破解 ——合天网安实验室学习笔记

   实验链接 通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全. 链接:http://www.he ...

2. 密码暴力破解漏洞(kali crunch)

   目录 1.密码安全 2.漏洞利用 3.不安全的密码 4.密码猜解思路 5. 字典wordlist 5.1 kali字典 5.2 github字典 6.专用字典 6.1 指定格式字典 6.2 社工字典 ...

3. 使用burp进行暴力破解

   1.在没有burp之前,客户端使用浏览器直接与服务器进行通信.有了burp之后,burp在客户端与服务器之间充当代理.这样,浏览器发送给服务器的请求就会被burp进行捕获,而burp和wireshar ...

4. burp suite暴力破解

   burp suite暴力破解 预备知识 Burp的工作模式 暴力破解 实验环境 实验步骤 实验目标 步骤 实际演练 预备知识 Burp的工作模式 在没有burp之前,客户端使用浏览器直接与服务器进行通 ...

5. linux密码暴力破解之SHA-512破解

   linux密码暴力破解 由于MD5加密已经发展了很多年,现在市面上已经积累了大量的MD5数据,这样,MD5的安全性也就受到了威胁,所以,从centos6.x版本开始,系统密码开始采用SHA-512加密 ...

6. SSH密码暴力破解及防御实战

   前言:本文对目前流行的 SSH 密码暴力破解工具进行实战研究.分析和总结,对渗透攻击测试和安全防御具有一定的参考价值. 首先介绍几款常用的ssh暴力破解工具: 1. hydra [海德拉] 指定用户破 ...

7. kali-linux教程 ssh密码暴力破解和防御实战

   1 hydra[海德拉] Hydra是世界顶级密码暴力破解工具,支持几乎所有协议的在线密码破解,功能强大,其密码能否被破解关键取决于破解字典是否足够强大,在网络安全渗透过程中是一款必备的测试工具. 指 ...

8. 你的Root账号安全吗？-看我用phpmyadmin密码暴力破解工具攻破你的系统

   你的Root账号安全吗?-看我用phpmyadmin密码暴力破解工具攻破你的系统 simeon phpmyadmin密码暴力破解是指通过指定账号和密码对mysql数据库进行登录尝试,如果字典中的密码跟 ...

9. 一个最简单的博客园文章密码暴力破解器-python3实现

   一个最简单的博客园文章密码暴力破解器-python3实现 我之前想写路由器的密码暴力破解器,我手上只有极路由,发现极路由有安全限制,只能允许连续10密码错误,所以我改拿博客园练手. 博客园的博客有个功 ...

最新文章

1. 演化理解 Android 异步加载图片
2. 如何在CentOS 7上安装Apache
3. STM32的晶振脚（OSCIN和OSCOUT）当成普通IO来使用
4. MySQL 基础———— UNION 联合查询
5. javascript判断日期奇偶_JavaScript_简介学习4
6. SQLException: Value '0000-00-00 00:00:00' can not be represented as java.sql.Timestamp
7. Optional Interview with Benny the Irish Polyglot abo---coursera课程Learn how to learn
8. 用Java实现文本编辑器
9. python创建excel图表_用python在Excel中创建图表
10. Apache Hudi调研小记
11. pillow之new和paste
12. 对转义字符“\”的理解
13. 2018全新升级旗舰版vbox硬件级虚拟机系统 vm去虚拟化修改信息工具 批量启动克隆 virtualbox
14. 对接阿里云opensearch
15. 余热回收系统：ORC低温余热发电原理
16. MySQL死锁产生的原因和解决方法
17. 数据爬取遇到EventStream是个什么东西？EventSource与websocket有何区别？Java后台如何获取爬取数据并入库？EventStream后台服务怎么写？
18. 财路网每日原创推送：用市值来评估加密货币是毫无意义的
19. 中国SaaS公司的互联网特性
20. 力扣每日一题：792. 匹配子序列的单词数【真没想到是一个二分】

热门文章

1. 数字带通滤波器c语言程序,IIR数字滤波器C语言
2. php 系统模版_原生PHP模板系统：Plates
3. 笔记本电脑WIFI和蓝牙无法使用，无线网卡驱动感叹号，该设备无法启动（代码10） 问题解决方案
4. asp.net 前端使用jquery $post 方法调用webservice 部署到IIS时会无法使用的问题
5. 传统的寻呼机（俗称BB机）
6. 详述USB OTG发展及协议标准
7. 微软官宣 Win 11 即将到来，网友：没安卓，升个寂寞啊！
8. 2014年国外公布的中国内地大学排名18强名单
9. linux蓝牙链接手机,在Linux操作系统下操作蓝牙手机的方法
10. 区块链+人工智能，如何颠覆我们已知生活