前言

本文很基础，大牛请绕过只简单演示一下bp爆破，bp功能很强大，brute force也只是其中一个算是比较常用的功能吧，试验基于我搭建的一个WordPress测试平台，使用了弱口令，由于之前设置的admin的口令给忘了。。。这里就用一个普通作者身份的账号代替。。。用用简单的社工，将用户newbee的密码爆出来。其实这篇文章只是想测试一下公众号的原创功能~

社工找信息

进入博客，我们看看博客里面有没有什么有价值的内容。大体浏览了一下，发现这里有几篇博文，最值得关注的是一篇关于生日的文章，通过这篇文章，我们能够了解作者的生日信息，推出其出生年月，从而为构造密码进行爆破提供了可能！

爆破

生成字典

这里使用的cupp，来生成字典。

cupp -i[+] Insert the informations about the victim to make a dictionary[+] If you don't know all the info, just hit enter when asked! ;)> First Name: newbee> Surname: newbee> Nickname: newbee> Birthdate (DDMMYYYY): 26021997

burpsuite抓取登录信息登录信息

右键——>Send to intruder

burpsuite设置

clear§

清除所有的§

add§

在需要爆破的地方加上§

导入字典

导入我们刚才生成的字典。

设置多线程

线程数设置为10。

爆破

都设置好之后，我们开始爆破。

我们新发现有一条记录的的长度为1067，而别的都为3716，并且状态码为302，即已登录，口令被爆了出来，为”newbee1997”！

登录测试

我们使用得到的password进行登录测试，登陆后就可以在后台搞一些恶作剧了（如果是admin你懂得）~

总结

通过本次试验发现弱口令简直毁一生啊~所以以后设置各种登录口令，一定要走点心啊！！我们还可以发现，收集信息也是一项非常重要的技能，个人信息 真的非常非常重要，也许在你不经意的几行文字里，就把你的银行卡密码给出卖了！！！发布信息，一定要三思而后行啊~