用burp对tomcat管理账号界面爆破却失败401

对于收到的响应状态码都是401的情况，说明需要进行身份验证才能访问该页面，因此需要在Burp中添加身份验证信息。

具体步骤如下：

1. 使用浏览器访问Tomcat管理界面，将截断请求发送到Burp。
2. 在Burp的Proxy菜单中选择HTTP history，找到请求，右键选择“Send to Intruder”。
3. 在Intruder中切换到Positions标签页，将需要爆破的用户名和密码字段标记为$1和$2。
4. 切换到Payloads标签页，选择Payload类型为“Custom iterator”。
5. 在Payload Options中设置Payload1为需要爆破的用户名，Payload2为分隔符“:”，Payload3为需要爆破的密码。
6. 在Payload Processing中选择Base64编码。
7. 切换到Options标签页，勾选“HTTP basic authentication”，并输入正确的用户名和密码。
8. 点击Start attack进行爆破。

如果爆破失败，可能是因为用户名或密码错误，可以尝试使用其他常见用户名和密码进行爆破。另外，还需要确保Burp的代理设置和Tomcat的访问设置正确。