使用Burp进行暴力破解

接下来，利用Burp Suite进行口令猜测。关键在于调整设置，确保只关注HTTP响应体，而过滤掉HTTP响应头。这样可以避免hydra因头信息的混淆而无法识别登录状态。设置调整后，启动攻击，Burp Suite的暴力破解功能开始发挥作用。最后，观察结果时，你会看到index.php列。

步骤四：在burp suite中获取登录成功信息，会302重定向至index.php页面。步骤五：在burp suite中进行口令猜测。步骤六：在options中取消勾选HTTP响应头，确保burp suite对HTTP响应头进行过滤。步骤七：开始猜测，成功破解。