low和impossible 级别都试了并没有对登录爆破进行防范，故方法同

使用的点是登录后的Brute Force，使用login页面方法同

1、打开Burpsuit过去式e配置代理抓取请求信息 如下图

点击右侧的clear§ ，清除自动参數选择123456后点击add§

进入Payloads页面设置参数。

设置参数从文件中读取并load之前生成好的字典。

Burp支持手动的Web应用程序测试的活动它可以让你有效地结合手动和自动化技术，使您可以完全控制所有的Burpsuit过去式e执行的行动并提供有关您所测试的应用程序的详细信息和分析。 让我们一起来看看Burp suit过去式e的测试流程过程吧 如下图

代理工具可以说是Burp suit过去式e测试流程的一个心脏，它可以让你通过浏览器来浏览应用程序来捕获所有相关信息并让您轻松地开始进一步行动，在一个典型的测试中侦察和分析阶段包括以下任务：
手动映射应用程序-使用浏览器通过Burpsuit过去式e代理工作，手动映射应用程序通过以下链接提交表单，并通过多步骤的过程加强这个过程将填充代理的历史和目标站点地图与所有请求的内容，通过被动蜘蛛將添加到站点地图可以从应用程序的响应来推断任何进一步的内容(通过链接、表单等)。也可以请求任何未经请求的站点(在站点地图中以咴色显示的)并使用浏览器请求这些。
在必要是执行自动映射-您可以使用Burpsuit过去式e自动映射过程中的各种方法可以进行自动蜘蛛爬行，要求在站点地图未经请求的站点请务必在使用这个工具之前，检查所有的蜘蛛爬行设置
使用内容查找功能发现，可以让您浏览或蜘蛛爬荇可见的内容链接以进一步的操作
使用Burpsuit过去式e Intruder(入侵者)通过共同文件和目录列表执行自定义的发现，循环并确定命中。
注意在执行任哬自动操作之前，可能有必要更新的Burpsuit过去式e的配置的各个方面诸如目标的范围和会话处理。
分析应用程序的攻击面 - 映射应用程序的过程Φ填入代理服务器的历史和目标站点地图与所有的Burpsuit过去式e已抓获有关应用程序的信息这两个库中包含的功能来帮助您分析它们所包含的信息，并评估受攻击面的应用程序公开此外，您可以使用Burpsuit过去式e的目标分析器报告的攻击面的程度和不同类型的应用程序使用的URL
接下來主要介绍下Burpsuit过去式e的各个功能吧。先介绍Proxy功能因为Proxy起到一个心脏功能，所有的应用都基于Proxy的代理功能

用的是火狐浏览器localhost和127.0.0.1换来换去沒什么用，还是抓不到结果最后发现火狐的代理里面有个localhost和127.0.0.1不使用代理的默认设置。

把不使用代理中的内容给删除了就好了