# Password brute-force via password change * Bài lab yêu cầu chúng ta thông qua cơ chế đổi mật khẩu để tìm password của user `carlos`. Trước tiên ta đăng nhập bằng account được cấp `wiener:peter` và đổi mật khẩu. Vào Burp Suite, xem HTTP history để tìm request `POST /my-account/change-password`.  * Gửi request này đến Intruder và đặt vị trí payload ở password. Tiến hành brute-force.  * Tất cả request đều có status code là `302`. Có thể account đã bị block.  * Ta thử đổi mật khẩu của user `wiener` nhưng lần này là mật khẩu sai và session bị mất  * Ta sử dụng Macro Editor và thêm vào bước login. Khi brute-force nó sẽ lặp lại bước login và sử dụng session đó  * Ta tiến hành brute-force lại một lần nữa và đã tìm thấy password với status code là `200`. Cuối cùng là đăng nhập. Hoàn thành bài lab.