利用宏进行密码爆破

• 抓取进入输入账户密码界面的包,即点击Brute Force所产生的流量包
  ​​
• 进入Project options---Sessions点击add，添加宏
  ​​
• 选择所需页面(即获取新token值的页面)，点击OK
  ​​
• Configure item
  ​
  ​​
• 选定user_token的值名命为user_token，点击ok
  ​​

​

• 在会话更新规则里，点击add
  ​​
• 添加运行一个宏
  ​​
• 在仅更新项里加入刚刚设置的user_token
  ​​
• ok
  ​​
• 设置适用于所有url
  ​
  ​​
• 放包
  ​​
• 输入账号密码重新点击login，进行抓包
  ​​
• 没出来就继续点放包，直到出现有username
  ​​
• 右键点击发送至repeater
  ​​
• 点击send，发现user_token的值刷新，表示宏设置成功
  ​​
• 重新发送至intruder选择集束炸弹，选定用户名和密码
  ​​
• 分别设置1和2的密码字典
  ​​
• 设置同时最大请求数为1
  ​​
• 开始爆破
  ​​