1.可以固定一个密码,先爆破用户名,或者固定一个用户名,爆破密码(前提是手工测试几次没有出现验证码)
2.如果有验证码,看验证码能不能绕过去继续爆破,如果不能绕过验证码,尝试使用burp的验证码插件或者http fuzzer配合使用绕过验证码爆破
3.右键查看源码,看看有没有什么测试账号写到源码里的,或者看看有没有未授权的接口
4.查看一下是什么框架开发的,如果知道是什么框架开发的,就去找对应版本的exp去打
5.在登录框随便输入一个错误的账号和密码,拦截数据包,看看响应包里有没有特殊的参数,通过修改特殊参数的值也能达到绕过登录的目的