使用burpsuite的intruder进行简单爆破教程

burpsuite是一款用于攻击web应用程序的集成平台，包含了许多工具那么咱们来简单聊聊使用burpsuite的intruder进行简单爆破教程，我使用攻防世界的ctf题当中给出的靶机进行攻击演示，这个教程只是一个基础教程适合基础入门。

我这里使用的kali自带的burpsuite社区版进行测试，我们先使用终端输入burpsuite打开这个软件

这里我先访问一下靶机，这个是密码输入模式，我先随便输入一个账号密码进行测试,然后会提示你账户不对还告诉你账户是admin，那不更简单了吗，账户都告诉我了，也是说我只用爆破密码即可，接下来打开burpsuite，注意看我图片红色部分

我们打开proxy代理模块，这个东西是让软件来把流量代理，这样我们访问网站的数据包都别burpsuite代理抓包到这里了，然后我们打开浏览器访问需要爆破点网站，输入账号为admin密码随便输入一个，先别登陆，打开浏览器设置，设置一下代理，如何设置看下图

设置好之后回到你要爆破的网站点击提交登陆这时候我们的burpsuite可以拦截到数据包了，然后我们把拦截的数据包右击鼠标点击send to intruder 意思是发送到攻击模块，把抓包的流量发到攻击模块。

然后我们点击proxy模块的右边有一个intruder模块，是攻击模块，点一下进入，刚刚我们已经把抓包的流量发到攻击模块了，所以进入攻击模块能看见刚才的数据

看上面这张图进入攻击模块选中passwd后面的数字1然后点击add增加，这样告诉软件你要爆破哪里，我们知道账号是admin那么爆破密码行，看我图上的数字四，这些弄完之后点击payload，这里是加载密码字典的，kali自带了密码字典，密码字典的意思是你爆破要输入的一些密码，软件会按着你输入的密码挨个测试。

这里点击load是导入密码字典，当然你也可以自己写一个密码字典或者从网上找个字典导入。

这些都弄好之后点击右上角红色的start attack 这个是开始攻击。

那么我们怎么判断爆破成功的呢？注意我黑线圈的地方，看看有啥不同，密码到123456的时候返回到数量和其他的不一样，点击response也显示和其他的不一样，接下来进入刚刚爆破点那个靶机验证一下，账号输入admin密码输入123456注意看，成功进入。获得flag

 

按理说讲这个burpsuite应该从基础的每个功能讲，但是我这里讲了一个模块，大家可能看完会云里雾里，不要慌，这篇文章只讲真家伙你只需要按着教程走可以实现爆破，不过本教程仅供参考学习，恶意爆破他人网站可能会追究刑事责任。