用burpsuite暴力破解登录页面(请求头含有user_token)

注：此篇基于DVWA的high安全等级下的brute force模式。
声明：此篇并非原创，而是根据实际操作对部分内容解释进行细化。

当前请求头的user_token的值，来自上一条请求返回响应包里已生成的user_token的值。(第一次获取的user_token除外)

• 打开DVWA，设置安全等级为high，进入brute force模式，设置好浏览器和burpsuite代理，关闭burpsuite的请求数据包截断：
  
• 已知用户名为admin，密码为test。此处为演示破解密码过程，故作不知密码。输入用户名：admin，密码：1。点击提交，出现如下返回页面：
  
• 打开burpsuite的proxy下http history查找捕获到的上述操作的数据包：
  
• 右击请求头文本，选择send to intruder:
  
• 进入intruder下target栏目，根据被攻击网站来设置host和port（默认已设置好了）：
  
• 选择positions栏目，选择攻击方式为pitchfork，点击clear&后，再依次选定password和user_token的值，点击Add&：
  
• 进入payloads栏目，选择payload set为第1个参数(即password的值)，选择payload type为simple list；在payload option下可以在Add后面输入框输入可能的密码再点击Add添加，也可以从Add from list里选择burpsuite自带的字典。(为了缩短破解耗费时间，这里我选择Add自行导入。)：
  
• 选择payload set为2(即user_token的值)，选择payload type为recursive grep：
  
• 进入options栏目，在request engine下设置线程为1(此处涉及到user_token，若线程>1会报错)：
  
• options栏目下找到grep-extract，图中选项打勾，点击Add：
  
• 在响应包的HTML内容里找到user_token，鼠标拖动选定user_token的值，并Ctrl+C复制其值，点击OK：
  
• 进入payloads栏目，选择payload set为2，在payload option下找到initial payload for first request，将上步复制的user_token的值粘贴到后方输入框内，为首次请求赋值初始数值：
  
• 点击右上角的start attack，结果如下，发现共有4种Length，length为363的是将前面抓到的请求包重发了一遍，而user_token已然改变，故网页重定向(状态码为302)；选择下方response的render查看响应的网页具体内容，对比之下，发现length为4826(对应为正确密码test)返回网页显示成功登陆；length为4869的，由于前一条user_token参数有误返回状态码302，故在响应网页底部同时提示一条CSRF token is incorrect信息；length为4788的即为正常输入密码错误所返回的响应页面：