因為今天要測試burp 帳號加密碼的功能,想找一下attack方式的說明,因為我的測試和大家說的不太一樣,所以google search一下burp suite的教學,發現了這篇
Window系統使用Burpsuite + Tor Browser(win)
解決了proxychains hide yourself 時找free proxy server的麻煩,所以特別記錄一下
這篇有兩個實驗重點
一、使用TOR browser的proxy隱藏IP
二、使用burp suite brute force attack 使用帳號和密碼
1.先打開TOR browser,再打開Burp Suite Community
打開始用SOCKS Proxy port 9150 (TOR的預設port)
Do DNS Lookup over SOCKS proxy
2.開啟Firefox 連線設定
3.確認結果,在firefox 打開檢查IP的網頁 https://check.torproject.org/
是否已經不是自己的IP,如果確認完就可以開始使用burp suite測試網頁
環境設定和Burp Suite Community Password Attack 一樣,只是這次在選intruder的Payload positions改成選帳號和密碼,Attack type=Cluster bomb
這次payload Set和Options就要分成兩次設定,依序是帳號,再來是密碼
結果也是看length,差最多的是答案,也可以設條件篩選,有機會再試囉
留言