用Burpsuite破解網站密碼

新浪微博:@一隻謝揚帆

操作方法

（01）切換至proxy選項卡的Option選項下，設置代理地址和端口：。

（02）啟動剛剛設置的代理

（03）打開Internet Properties，依次選擇：Connections ->LAN Settings ->Proxy Server.分別輸入和8080。如圖所示。

（04）找一個目標網址為

（05）點擊“登錄”時，出現的是一個彈出窗口，為了找到真正的登錄網址，我們點擊“免費註冊”。

（06）點擊旁邊的“登錄”，隨便輸入一個賬號，密碼輸入“123456”。（先不點擊登錄按鈕）

（07）選擇Proxy選項卡下的“Intercept”選項，點擊“Intercept is off”按鈕，按鈕會變成“Intercept is on”

（08）打開前面的登陸頁面，點擊“登錄”按鈕。

（09）此時我們會在Burpsuite下看見剛剛截取到的數據包。可以看到我們剛剛輸入的用户名和關鍵字。

（10）在文字區域內單擊右鍵，選擇“Send to Intrder”

（11）切換到Intruder選項卡下，選擇“Target”，設置主機地址以及端口號，端口號默認是80，假如網站使用的是HTTPS協議的話就勾選下方的“Use HTTPS”切換到443端口（SSL）

（12）切換到Positions選項，點擊右邊的“Clear $”按鈕，清除所有默認參數。

（13）鼠標選中username後邊的文字（我們輸入的用户名），點擊“Add $”按鈕。

（14）切換到“Payloads”選項，選擇要使用的“Payload type”，這裏我們選擇“Simple list”。

（15）在下方的“Add from list”中選擇一種密碼，這裏我們選擇“8 letter words”。

（16）切換到“Options”選項卡下，設置線程數和其他參數，如下圖所示。

（17）點擊菜單欄的“Intruder”，選擇“Start attack”

（18）掃描到差不多的時候，我們按Length（長度）大小排序。這是我們會看到幾種不同的數據包，許多一樣的，還有幾個數據包很大的基本就是正確的了。

（19）選擇其中一個較小的數據包，點擊下方的“Response”，會看見有提示“用户名或密碼錯”

（20）同理，我們再選擇一個較大的數據包，這是，我們會看見下方並沒有提示“用户名或密碼錯誤”，

（21）當我再重新打開登錄頁面時發現已經進不去了

（22）初步猜測應該是IP被網站封了，所以我們換一個IP登錄試試。我用手機流量開熱點鏈接電腦，這時再去打開網頁時果然顯示出來了。

（23）輸入我們剛剛獲得的用户名（這裏以merchant為例）以及密碼123456。然後點擊登錄。

（24）成功登錄

特別提示

.網絡安全確實是個很大的問題，所以我們在上網時儘量不要泄露太多個人的信息。

3.在網站註冊賬號時密碼不要設置得太簡單。因為一些網站對於暴力破解並沒有進行特別的防禦。