Поскольку Burp Suite написан на языке Java, вам необходимо сначала установить рабочую среду JAVA, а кроссплатформенность Java позволяет использовать программное обеспечение практически на любой платформе. Burp Suite отличается от других инструментов автоматического тестирования. Прежде чем он начнет работать, вам потребуется вручную настроить некоторые параметры и запустить некоторые автоматические процессы. Далее мы вручную настроим прокси-сервер, а затем перебор пароля учетной записи веб-страницы. эта статья не очень практична, потому что большинство текущих страниц имеют коды подтверждения или используют проверку токена, а количество входов в систему также ограничено, так что просто поймите это.

1. На первом этапе мы сначала открываем браузер Firefox, затем нажимаем на меню в правом углу, выбираем [Параметры], а затем настраиваем локальный браузер на использование прокси-сервера. Здесь мы используем локальный компьютер [127.0]. .0.1:8080].

2. Откройте инструмент Brup и выберите [Прокси-сервер]. -> Options -> Редактировать] Настраиваем локальный прокси. Здесь мы просто используем параметры по умолчанию.

3. После настройки прокси вернитесь в Burp и непосредственно выберите вкладку [Перехват], включите перехват [Перехват включен] и нажмите кнопку входа.

4. Вернитесь на страницу, которую необходимо развернуть, затем введите поддельное имя пользователя и пароль и нажмите кнопку входа. В это время страница не отвечает.

5. В это время Brup автоматически перехватит запрос на вход и вернется в основной интерфейс Burpsuite: вы увидите, что введенные тестовые имя пользователя и пароль присвоены полям log и pwd. Имя пользователя и пароль найти несложно. поля.

6. Щелкаем правой кнопкой мыши по пустому месту Brup и выбираем [Отправить в Intrumer] для отправки в модуль подрыва. После этого вы увидите, что надпись [Intrumer] становится ярче, и мы нажимаем непосредственно на нее.

7. Затем нажимаем [Злоумышленник] и выбираем модуль [Позиции]. Первым шагом является очистка специальных символов, затем добавление специальных символов в поля, которые необходимо развернуть, и включение пароля учетной записи, как показано ниже.

8. Загрузите словарь имен пользователей.

Загрузить словарь паролей.

9. Непосредственно нажмите кнопку [Начать атаку], чтобы запустить программу взрыва. Успешность взрыва зависит от социальной инженерии и словаря. Обычно мы наблюдаем длину. Если мы обнаружим, что длина отличается от большинства других, это может быть. прошли успешно. Имя пользователя показано ниже [admin] 】Пароль【wang123123】.

10. Вернитесь в Brup, чтобы освободить все пакеты данных, а затем используйте имя пользователя и пароль, которые мы взломали, для успешного входа в серверную часть веб-сайта. Затем начните использовать Shell. WordPress позволяет пользователям загружать темы или плагины. щелкнет файл Shell.php, как показано ниже. Изображение, загрузка.

11. По умолчанию он будет называться  /wp-content/uploads/2019/08 Путь + дата загрузки , напрямую подключитесь к Ant Sword, чтобы получить Панцирь.