渗透测试工具Burpsuite的使用（持续更新）

写在前面

本篇文章将介绍渗透测试常用工具Burpsuite的功能和使用方法，重点在于使用步骤

抓包+暴力破解猜解账号和密码

首先抓取数据包

第二步，将数据包送入Intruder
由下图可以看出，现在有三个地方的参数可以修改，分别是账号、密码和提交，我们要破解的是账号和密码，因此选择图片右侧的clear，再通过add选择账号和密码，Attack type要选择Cluster bomb

第三步，为参数添加字典
Payload set为1代表第一个参数，也就是账号，可以手动添加，也可以直接载入字典，在这里我手动输入了三个用户名，为密码参数添加了字典

第四步，暴力破解
暴力破解时如果选择的是两个参数，一般时间会比较长，因为它们的组合是指数级的，点击Start attack后只需等待结果，正确结果的Length一定是最长或者最短的那一个，如下图所示得到靶场的账号为admin，密码为123456

后续内容持续更新