基于表单的暴力破解（本文仅供技术学习与分享）

实验环境及工具：

1. 皮卡丘平台
2. Burpsuite

实验步骤：
（1）看到用户名和密码输入框，随机输入任意字符串尝试登陆，并用Burpsuite抓包，显示登陆失败。
但是在Burpsuite上可以看到，该请求为Post请求。认证因素只需要用户名和密码，没有验证码，因此是可以被暴力破解。

（2）将该请求发送到Intrude里面进行修改。
（3）点击最右边clear §，清除变量。在username和password变量的值中add §
（4）添加两个字典（因为设置了两个变量），再start attack。
（5）按照长度排序，查看返回的报文
找到与其它报文长度不一样的报文查看内容即可

（6）也可以设置Grep Match来自动匹配返回值

Tips:
Sniper: 一次只能替换一个变量；
Battering ram: 可以同时替换两个变量，但是每个变量同时替换成字典里面的第一个值；
Pitchfork: 可以同时替换n个变量（取决于自己设置几个变量）。第1个字典的第1个值替换第1个变量，第2个字典的第1个值替换第2个变量;
Cluster bomb: 可以同时替换n个变量（取决于自己设置几个变量）。但是会将第一个字典的第一个变量依次与第二个字典的所有变量进行匹配.