JZTXT

burpsuite_pro_v2023.9 实现对带token的网站穷举

发布时间 2023-10-21 18:41:14作者: QxrwQ
  1. 前提:登陆时,值带有token验证,解决方案,发包前首先获取token,再匹配账号密码
  2. 使用brupsuit进行抓包,并发送到拦截器
  3. 将其都设置为变量,并将攻击类型“Attack type”改为"Pitchfork",
  4. 设置重定向"Redirections"为"Always"
  5. 选中"Extract the following items from responses"-->add
  6. 点击"Refetch response" 选中token值,点击ok。
  7. 线程设置为1
  8. 第一个参数,设置为Simple list,并导入字典
  9. 第2个参数设置模式为Recursive grep 模式,如下图填写,最后点击"Start attack".
  10. 按照长度排序,密码为“password”,完成穷举