BurpSuite爆破base64账号密码

背景

考试时遇到域名用户爆破，其验证格式为base64编码的组合凭证，社区版尽量用小字典，大字典会卡吐，以下为示例：

推荐字典：

• /usr/share/wordlists/nmap.lst
• /usr/share/seclists/Passwords/darkweb2017-top1000.txt

1.选择Positions，Attack type选择Sniper，选中使用base64加密过的那一段密文，点击右侧的Add$

2.选择Payloads,Payload type选择Custom iterator

3.Posion选择1，点击下方的Clear,点击Load items from file,选择一个用户名爆破文件