burpsuite获取token进行密码爆破

发布于 2021-03-07  452 次阅读


简介

在使用burpsuite进行密码爆破的时候,有时候会遇到token验证

而token验证在每次请求的响应里面而我们需要怎样才能

让每次爆破请求的时候让burpsuite获取响应的token了

操作方法

(以中文版为例)

1.将抓取到的数据包通过右键选择“发送给测试器发送至Intrude  将攻击类型设置为pitch fork(草叉模式),为password值和_token值添加payload标志

2.在Options选项找到Grep-Extract,选择从响应中提取以下项目,点击Add   (线程数必须为1 否正数据不同步发送错误)