一、Basic认证特征:
http包特征如下:
该数据包base64解码可获取原始内容:
由此可知该密码提交方式为{用户名:密码}然后base64编码。
二、构建payload
send to intruder
标记payload位置:
构造payload(选择“自定义拼接”):
构造第一段内容,使用load导入用户名字典:
构造第二段内容
构造第三段内容:
对构造好的内容进行处理(base64编码):
设定线程池:
三、开始爆破:
注意返回值的长度,长度特殊的即有可能就是爆破出来的密码,将这些字段解码即可获得爆破后的密码: