前提:

下载安装包,我已经放在了百度网盘中版本为windowsX64 2.7.0,有需要的可以去地址下载:https://pan.baidu.com/s/1S4yDP7aFiEzSO41c_817vQ

由于ZAP工具是基于java的,所以电脑必须安装并配置jdk环境,我安装的是1.8.0;

安装和使用:
安装包是.exe的,一路Next即可,打开后样子如下:
Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ_第1张图片

我是在本机搭建了测试环境,本机即站点,所以要设置浏览器代理和ZAP代理,同时设置为127.0.0.1,端口号一致即可;

ZAP设置代理: 工具》选项
Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ_第2张图片

然后选择 Local Proxies,输入ip地址和端口号,点击OK按钮 即可;

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ_第3张图片

在浏览器中进行访问本站点的网址(不可以写localhost或者127.0.0.1,要写对应的ip地址)并登陆,ZAP就可以抓到包;

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ_第4张图片

在登陆url中右键,选择 Fuzz...

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ_第5张图片

将需要替换的文本替换为字典后,点击 Start Fuzzer按钮,就开始进行了暴力破解;
Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ_第6张图片

暴力破解完成后,可以对响应的body体进行排序,一般情况下都是错误的返回,大小一致,找到不一样大小响应的请求,即为正确的用户和密码;

Web安全工具 -- OWASP ZAP的暴力破解功能FUZZ