发现一个不用写脚本单纯用burp suite破解high级别的Brute Force，记录一下
Brute Force high
抓包

对比之前的medium抓到的包get里多了user_token这个值，这个值是随机的每次都不一样，有点像网页发的验证码，验证身份。
将抓到的包发送到intruder模块，将密码和token值设为变量，同时改变攻击模式，选择pitchfork。
pitchfork 草叉模式，我的理解是两个变量为一对，来破解密码，解决了token值每次都会变化的情况。

接下来解决token会变的问题
打开options模块
找到Request Engine中的Number of threads 把他设为1。

找到Grep Extract模块进行设置
1.点击add
2.出现一个小窗口，点击refetch response（刷新），出现一串代码。
3.找到user_tocken，鼠标点击复制tocken，这时start after 。。和End at del。。后的方框内会自动出现数值，不用自己设置。
4.点击OK，设置完成。

接下来找到Redirections模块选择always

该页面设置完成，跳转页面到payload，payload中1 的设置与medium没有区别，主要是2 关于tocken的设置。
将payload set 改为2，将payload type改为 Recursive grep，将在上一个页面复制的tocken粘贴到payload Option。。。内的initial payload。。。这串字符后的框里。这样设置完成。

最后，点击start attack就可以看到结果了。

分析结果，这种方式它每次获取不同的tocken值达到目的
对上面操作的理解
1.为什么要设置线程为1，因为一个密码对应一个tocken
2.为什么要编辑Grep Extract模块，因为要获取每次的tocken，给tocken找个位置。
3.Recursive grep翻译为递归grep，搜了搜也不知道啥意思，先这样吧，以后知道了再来改。