本文共 712 字，大约阅读时间需要 2 分钟。

配置：

Burp爆破界面介绍？ （1）requests----请求包序列 （2）Payload----当前爆破所用的字典 （2）Status----服务端返回到客户端的状态吗 （3）E

如果发现爆破的字典内容可能有需要的，可以通过保存

看到长度不同，先去看一下Response信息 通过点击选中，按住shift,再点到自己想要停止的位置，然后右键找到导出。 然后ctrl+c，复制信息

302跳转有可能有重要信息

爆破暂停，或者重新开始一个窗口进行爆破。 如果发现错误Error被勾选，或者下方的爆破数字开始变慢，则有可能出现服务器即将崩盘，需要立即停止。 可以设置自动变化数字进行爆破，1~1000000都可以，还可以利用step进行跳转数值设置

可以设置字典内容自动转换为加密形式

BurpSuite的Decoder模块，使用Base64解码即可获取用户认证信息明文。 绕过验证码，首先输入验证码

抓包时，有可能有多个包，我们可以设置白名单

下次则不会抓 也可以在设置中删除白名单 如何绕过验证码？ 绕过验证码，首先输入正确验证码，抓包。 如果要放包，将包全部删除，再放，不要去刷新页面 查看Responce是否有提示说验证码出错，如果直接提示账户密码出错，则代表验证码被绕过。 则该验证码则一直有效。 因为如果用户名密码出错，则客户端会像服务端重新请求一个新验证码。 所以把包全部删除，放掉，不要发出去，类似于一直使用之前服务端给予的token 看下length值的变化，比如绕过以后和没绕过的一个区别。

绕过验证码姿势：

有的验证码是虚设，可以删除提交看看。 比较好用的字典：全拼Top500，用户名+密码500+。

转载地址：http://fzqen.baihongyu.com/