最近在pikachu靶场练习暴力破解账号和密码，遇到几个问题，经过反复琢磨测试，一一得到解决。现与大家分享一下，希望对您有所启发和帮助。

       我的虚拟机系统是Kali Linux,工具是Burp Suite_pro,受害者虚拟机系统Win2008 R2,平台是phpstudypro,靶场是pikachu,浏览器是火狐Firefox。

一、打开浏览器，进入pikachu漏洞平台。

在浏览器地址栏输入：http://192.168.31.77/pikachu （备注：此IP地址是漏洞平台pikachu网址），进入暴力破解基于表单的暴力破解模块。

 二、打开Burp软件，设置好Proxy功能模块Options选项Proxy Listeners监听端口（127.0.0.1:8080）。进入Intercept选项，按钮Intercept is on状态，回到pikachu平台，在表单暴力破解输入用户名和密码，我这里输入admin，123。Burp抓请求包如下图：

 三、在空白处点击右键然后点击Send to Intruder。进入Intruder功能模块Position选项，点击右侧Clear$按钮。

 四、分别选中用户名：admin,密码：123，点击右侧Add$按钮。强调一下，此处Attack type 要选择Cluster bomb，不是缺省Sniper。否则Payloads数量不会出现2个。

 五、然后点击Payloads选项，【1】Payload set :1,Payload type :Simple list，【2】Payload Options[Simple list]，此项加载爆破用的用户名字典文件，或者直接键盘输入（Add按钮）。【3】Payload set :2,Payload type :Simple list，【5】Payload Options[Simple list]，此项加载爆破用的用户密码字典文件，也可以键盘输入（同上）。

 六、然后点击Start attack按钮，开始爆破。

爆破结果查看Length长度判断是否爆破成功。此例爆破成功，用户名admin，密码123456。好了，希望看到此文的朋友对你有所帮助和启发。感谢分享！欢迎批评指正！