经典情况：

无论是用户名不存在，还是用户名存在但密码错误，统一返回“用户名或密码错误”

这种情况又要怎么办呢❓
如果没有其他接口配合，我们是很难确定存活用户了，我们也不可能用5w的用户名和6w的密码字典去交叉爆破，量级达到30亿了都。这种情况下，我们首先可以挑一些常见的高价值用户名进行爆破测试，例如admin、root、test等等，这种没什么好说的。

在这种情况下，也可以多试几种常见的弱口令进行喷洒，不止123456，比如还可以试试111111、admin、888888等等。

关于这种情况，还有很重要的流程需要补充，可以让喷洒出货概率提高很多。简单来说，我们上面的喷洒大概是这样：

用户名 密码
admin 123456
root 123456
test 123456
zhangwei 123456

我们想办法构造：

用户名  密码
admin admin123
root root123
test test123
zhangwei zhangwei123

也即，我们的密码字典其实就是用户名字典后面补一个123，我们没必要专门做一个这样的密码字典，用burp实现上述效果即可

Burp使用pitchfork模式，标记两个地方，在password参数后面加一个123

然后设置payload的时候，两个位置都选择我们的用户名字典即可

效果大概是下面这样：

之所以有这一步，在实战中有些站点生成用户后，喜欢把用户的密码设置成用户名拼音+123，有时候还会设置成密码就是用户名，还有很多用户在设置自己密码的时候就是很喜欢用户名拼音+123的规则，所以在实战中多加这么一步真的出过不少洞。而且也不只是拼接123，还可以试试下面这些密码规律结合用户名字典去做喷洒：

用户名+@123 
用户名+@年份 
用户名首字母大写+@123

可以让喷洒成功率提高很多。