Pikachu的暴力破解演示（表单）

大家好，猴子君今天要为大家介绍的是通过burpsuite对pikachu测试平台进行暴力破解。
下面进入教学部分。

基于表单的暴力破解

首先打开burpsuite和xampp

点击Proxy，点击options，查看端口

打开浏览器，设置代理，在之前的burpsuite教程有讲。
输入pikachu的网址

打开burpsuite的Proxy，点击intercept的intercept点成off
打开pikachu平台的第一个，表单破解

尝试输入密码，查看提示

打开HTTP history，找到自己抓到的包，查看底部username和password部分，发现只有这两个数据输入。
右键点击这条历史，点击发送到send to intruder，点击positions，选择Attack type中的最后一项
将多余的撞库数据clear掉，只留下账号密码


点击Payloads，选择Payload type的Runtime file选项，选择账号的字典，同理，点击payload set，选择2，重复操作，选择密码字典。

点击 start attack，开始跑字典

点击length，找到和大部分不同的那条，查看数据1，2，用数据到网页测试

这样，基于表单的暴力测试就完成啦！