burpsuite使用--暴力破解

测试靶机：dvwa

浏览器开启代理，使用burpsuite拦截：

并将拦截到的内容发送到intruder进行暴力破解

右边的Add$和Clear$都是选择爆破范围的操作，一个是选择，一个是清除，这里只选择用户名和密码

爆破类型选择最后一项，可以加载两个字典针对性爆破

 

加载payload，这里就要用到字典。burp有自带字典，也可以载入我们自己的字典（两个payload两个字典）

点击开始爆破：

稍等时间返回结果，返回数值和其他都不同的就是用户名和密码了

这里报出来两个用户名和密码，验证都可用（每个人结果因字典差异不同）

登陆成功