前提:
下載安裝包,我已經放在了百度網盤中版本爲windowsX64 2.7.0,有需要的可以去地址下載:https://pan.baidu.com/s/1S4yDP7aFiEzSO41c_817vQ
由於ZAP工具是基於java的,所以電腦必須安裝並配置jdk環境,我安裝的是1.8.0;
安裝和使用:
安裝包是.exe的,一路Next即可,打開後樣子如下:
我是在本機搭建了測試環境,本機即站點,所以要設置瀏覽器代理和ZAP代理,同時設置爲127.0.0.1,端口號一致即可;
ZAP設置代理: 工具》選項
然後選擇 Local Proxies,輸入ip地址和端口號,點擊OK按鈕 即可;
在瀏覽器中進行訪問本站點的網址(不可以寫localhost或者127.0.0.1,要寫對應的ip地址)並登陸,ZAP就可以抓到包;
在登陸url中右鍵,選擇 Fuzz...
將需要替換的文本替換爲字典後,點擊 Start Fuzzer按鈕,就開始進行了暴力破解;
暴力破解完成後,可以對響應的body體進行排序,一般情況下都是錯誤的返回,大小一致,找到不一樣大小響應的請求,即爲正確的用戶和密碼;