1.右键点击需要测试的站点,选择攻击- Fuzzer,当然也可以通过菜单栏工具设置
将要暴力破解的字典添加进来
将需要替换的文本替换为字典后,点击 Start Fuzzer按钮,就开始进行了暴力破解
暴力破解完成后,可以对响应的body体进行排序,一般情况下都是错误的返回,大小一致,找到不一样大小响应的请求,即为正确的用户和密码;