Burpsuite进行暴力破解
一、下载Burpsuite工具
https://download.csdn.net/download/u011966339/91967191?spm=1001.2014.3001.5501
二、SSL协议证书安装
2.1Windows 系统检查:
按下 Win + R,输入 certmgr.msc 打开证书管理器。
展开 “受信任的根证书颁发机构 → 证书”,在列表中查找是否有 PortSwigger CA(Burp 证书的默认名称)。
若没有,重新导出 Burp 证书并导入:
在 Burp 中 Proxy Options → SSL 证书 → Export CA certificate(选择 DER 格式,保存为 burp_ca.der)。
双击证书文件 → “安装证书” → 选择 “当前用户” → “将所有证书放入下列存储” → 点击 “浏览” → 选择 “受信任的根证书颁发机构” → 完成导入。
2.2Mac 系统检查:
打开 “钥匙串访问” → 左侧选择 “系统” → “证书”。
查找 PortSwigger CA,确认其 “信任” 设置为 “始终信任”。
若未安装或信任有误,重新导入证书并右键设置信任。
2.3微信设置代理网络
将微信的代理设置burp工具代理监听的IP和端口
2.4进行手机的代理请求拦截
选择proxy-options。配置代理ip地址与端口
4点击add新增,选择自定义,选择我们电脑的ip,输入端口号,点击ok
5保存上后勾选上我们新增的这个
6配置手机或模拟器代理(同一网络环境)
长按WLAN-修改网路-代理选择手动-配置ip与端口与brup一致
模拟器同理
三、找到对应的请求进行验证码暴力破解
设置payload的参数的数值格式;
设置资源池
设置自动终止的条件
点击攻击进行暴力破解验证码,可以根据返回的长度或者终止的请求就是正确的验证码;
