後面的內容為自己的學習筆記
說明內容可能會較前面的文章少蠻多的

今天使用的工具是Burp
詳細的設定及操作可以參考HackerCat的
Web滲透測試 - Burp Suite 完整教學

暴力破解(Brute-force)為一種窮舉攻擊，會將密碼逐一推算後，直到找出真正的密碼。

確認目前的級別(Low)後選擇Brute Force

首先嘗試以Username:admin/Password:123
送出後得到結果如下：

開啟Burp來做攔截，並點選Action送至Intruder

進入Intruder後點選Position
先選擇右方的clear將所有綠底的欄位清除

在要進行暴力破解的參數欄位點選Add，結果將呈現綠底
我們選擇於password原本輸入123的這個位置添加綠底。

選擇payload字典檔的清單，也可以自己刪減
以下字典檔清單路徑為/usr/share/wordlists/wfuzz/others/
完成後點選右上方了Start attack

送出後等待字典檔進行暴力破解，查看Length結果字數
當中不一樣的字數結果可能為密碼。

如下圖嘗試的密碼回傳字數為4666
但第31項的password結果為4704。

結束後回到Proxy點選Forward送出
送出後得到的結果如下：登入成功

Username:admin
Password:password 

今天是關於暴力破解的小小練習
第一次在使用時
設定Burp花的時間比暴力破解還來得久~