zoukankan      html  css  js  c++  java
  • BurpSuite--intruder

    一、简介

    用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。

    可以执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。

    二、模块说明

    Burp Intruder主要有四个模块组成:

    1:Target 用于配置目标服务器进行攻击的详细信息。
    2:Positions  设置Payloads的插入点以及攻击类型(攻击模式)。
    3:Payloads  有效负荷选项。设置payload,配置字典

    Payload Sets Payload数量类型设置。

    Payload Opetions[Simple list]  该选项会根据选项1中Payload type的设置而改变。

    Payload Processing 对生成的Payload进行编码、加密、截取等操作。

    Payload Encoding 你可以配置哪些有效载荷中的字符应该是URL编码的HTTP请求中的安全传输。
    4:Opetions   此选项卡包含了

    request headers,

    request engine,

    attack results ,

    grep match,

    grep_extrack,

    grep payloads和

    redirections。

    你可以发动攻击之前,在主要Intruder的UI上编辑这些选项;

    大部分设置也可以在攻击时对已在运行的窗口进行修改。

    详细看 BurpSuite系列(五)----Intruder模块(暴力破解)

    对于Positions几种攻击模式的理解

    1. Sniper(狙击手)

    顾名思义,就是一个一个的来,就跟98K一样,一ju一个准。也是最基础的一种模式。
    添加了一个参数的话,并且假设payload有500个的话,那就执行500次

    如果添加了两个参数的话,就会挨着来,第一个参数开始爆破时,第二个不变,如此这样,会进行500+500此 总共1000次爆破。

    2. Battering ram(攻城锤)

    顾名思义,和狙击手差不多,一个参数的话都一样,只不过如果添加了两个参数的话,就一起进行爆破。那么两个参数爆破时候的值肯定就是一样的了。那么就只会进行500次爆破。

    3. Pitchfork(草叉模式)

    此模式下如果只添加了一个参数的话,会报错

    添加了两个参数的话 ,要求添加两个payload
    pl1:1,2
    pl2:3,4
    那么第一爆破为 1,3
    而二次爆破为2,4
    如果两个payload行数不一致的话,取最小值进行测试。所以爆破的次数取两个中最小的为准。

    4. Cluster bomb(集束炸弹)

    同pitchfork,起码两个参数,但此操作会计算两个的payload 的笛卡儿积。
    比如pl1:1,2,3
    pl2:4,5,6
    那么第一次爆破为 1,4
    第二次为1,5
    以此类推 1,6
    2,4
    2,5。。

  • 相关阅读:
    lintcode:Binary Search 二分查找
    lintcode:1-10题
    leetcode 5 :Longest Palindromic Substring 找出最长回文子串
    leetcode 4 : Median of Two Sorted Arrays 找出两个数组的中位数
    Project Euler 78:Coin partitions
    Project Euler 77:Prime summations
    Project Euler 76:Counting summations
    筛选法求素数
    Codeforces D546:Soldier and Number Game
    Project Euler 75:Singular integer right triangles
  • 原文地址:https://www.cnblogs.com/dork/p/13816132.html
Copyright © 2011-2022 走看看