pikachu漏洞练习第一章节基于表单的暴力破解练习收获

练习部分

暴力破解攻击即：连续性尝试+字典+自动化。根据网站信息优化字典，可以提高破解效率。

打开pikachu靶场，第一题先尝试输入随机数登录，得到网址回应不存在该用户名

打开burpsite用proxy抓包可见请求中的用户名和密码为之前随机输入的www

由于请求中只包含用户名和密码，无验证码等其他因素，可知此题目可暴力破解

右键请求文本选择发送到intruder，在intruder里查看，攻击模式选用sniper

这里对要进行爆破的数据，即用户名和密码，从原来的静态变量替换为动态变量。具体操作为选中原数据www，点击添加payload