基于表单的暴力破解

1. 表单登录界面

  通过登录界面可以看到没有验证码要求，可以直接使用暴力破解

2. 随意输入账号密码查看反馈情况

  发现会提示显示账号密码并不存在

3.使用burp进行抓包查看

4.发送给intruder板块进行暴力破解操作

  注意使用类别，根据情况点击并使用add$设置变量

5.buro选择字典形式

  可以使用Simple list手动在下面添加，也可以使用Runtime file添加字典，这里使用Runtime file。

6.构建用户名和密码字典

7.开始字典攻击

  然后单击length可以看到一个长度比较小的，因为密码错误（username or password is not exists）和密码正确（login success）所弹出的字符串长度不一样，所以可以根据返回页面的长度来判断是否成功。

8.查看对应response里的内容

  可以看见显示爆破成功。