burpsuite实战指南

作者/@t0data(推荐这本书来读)

---

个人使用笔记：

---

1：模块的简单使用（破解优酷视频密码为例）

a.申请了一个测试账户，设置视频密码为‘3234’

b.打开burpsuite，设置代理，同时在自己浏览器中设置代理（截图待会上传）

c.打开网页，在密码输入框中填写‘2234’，

d.打开Burp suite，我这边刚开始选择burpsuite的截断功能设为OFF，我在历史记录中寻找到刚刚输入的数据

e:选择之后，右键，选择send to intruder （截图不会上传）

f:选择 Intruder 选项下的 target选择，可以看到相关的网站信息数据（截图待会上传）

g:选择 Positions 子选项卡，使用右边的  Clear Add来选中要修改的部分，在这里我们只选择pwd这一项    type 我们选择Snipper这一项，具体是什么意思，详细查看上文提到的使用指南，这里简单介绍一下（以后也不介绍）

h:切到 Payloads 子选项，本次我们只需要修改一个参数pwd，因此这里的payloads只有一个。我们的payload是密码，我们可以根据左边的 load 导入字典，（在这里，我们只做测试实验使用），字典里边只有四个密码 ：

i:切到  Options 选项卡，将Match选项设置为如下图所示：

j:选择  intruder  下的  start attack，开始攻击：

k:结果如下，根据 Length  找到密码

点击下边的的 Request 下的  Response 选项，查看具体信息。