Burp Suite抓包爆破，怎么爆破密码（详细多图）

1、首先要安装ja箪滹埘麽va JDK，然后安装burp suite软件，打开工具包中的Burpsuite文件夹，该文件夹里有两个jar包，双击打开BurpLoader.jar

4、然后打开Burp已经有默认的代理127.0.0.1:8080，勾选即可用。

7、以上设置完成后，就可以进行抓包爆破了。首先进行抓包，Proxy —> 诔罨租磊Intercept —Intercept is off/on这里：Int髫潋啜缅ercept is off代表不抓包，Intercept is on抓包。设置Intercept is on时，点击需要抓取包的页面，就可以抓取请求包

9、如果抓取登录的请求包后并且用户名和密码都是明文的话，便可进行爆破。

11、Intruder —> Positions

14、在弹出的对话框中，添加用户名字典和密码字典，然后点击Payloads

17、结果查看，通过Length来判断爆破是否成功。比如下图中，可见Length列为6928，其它都为5桃轾庾殇431。那么可以根据这个长度判断出，爆破出的用户名是admin密码是axis2。爆破成功的用户名和密码返回长度与失败的返回长度差异很大。