burp suite的intruder模块用来自动探测Web应用程序，我们可以用它来暴力猜解用户名和密码。首先准备用户名和密码字典，这个网上可以用csdn、天涯、人人等泄露的用户名和密码，也可以用字典工具自己生成，超级木头这款工具还是很好用的

首先我们抓到登陆网站的post包，IE设置代理服务器，用burp suite即可。有关burp suite的使用方法可参考
www.2cto.com/Article/201209/155614.html。
抓取的post包如图：




,可以点击该报查看一下具体信息，右击该post包，点击send to intruder。开始进入intruder界面：




图中红色的部分是软件自动探测出来的动态的数据，可以选择取消，也可以添加，这些动态的数据可以动态地在我们的字典里加载，提交给服务器。

这里只留下username和password，其余取消动态加载，如图：



之后选择payload（载荷模块),载入我们的字典，


 （字典是需要我们手动生成的） ，载入完成后，我们可以在左侧看到字典内容列表。 之后可以暴力破解了，点击intruder—>start attack，



 进入运行界面，我们可以看到每一次的破解结果，可以根据返回的数据内容来判断是否登录成功，不过一般Web服务器会设置限制次数，多次失败的登录可能导致IP 被封。结果截图