[工具] BurpSuite--Intruder功能

BurpSuite--Intruder功能

0x00 配置说明

intruder是进行爆破的,基本流程是标注请求的爆破参数,然后配置字段,选择爆破方式进行爆破,下面来记录下工具的使用

选中intruder可以看到“target”、“positions”、“payloads”、“options”选项

target 选项

配置目标的host,port及协议(http/https)

positions 选项

配置攻击方式及爆破点的选择

选择要进行暴力破解的参数,用$包含参数值,表示对该值进行枚举(使用右侧的按钮选择爆破参数)

Attack type:有四个攻击方式,下面说下每个的作用

sniper – 对变量依次进行暴力破解。

battering ram – 对变量同时进行破解。

pitchfork – 每一个变量标记对应一个字典,一一对应进行破解。

cluster bomb – 每个变量对应一个字典,并且进行交叉式破解,尝试各种组合。适用于用户名+密码的破解。

Payloads 选项

选择某个爆破参数配置payload

选择payload的类型,如上选择的是简单列表,下面就会弹出具体的配置,这里是加载一个字典列表,可以直接复制,也可通过文件加载

Simple list – 通过配置一个字符串列表作为Payload,也可以自定义添加或从加载文件夹

Runtime file - 指定文件,作为相对应Payload位置上的Payload列表。

Custom iterator – 款功能强大的Payload,它共有8个占位,每一个占位可以指定简单列表的Payload类型,然后根据占位的多少,与每一个简单列表的Payload进行笛卡尔积,生成最终的Payload列表。

Payload Processing -- 添加payload的处理方式,如爆破参数需要进行base64编码,这里就可以添加此编码操作

Payload Encoding -- 可设置需要进行url编码得字符

Options 选项

Request Engine -- 设置请求的线程数,超时重试时间

Grep Match -- 这个设置主要用来从响应包中提取某些结果,如果匹配成功,则在攻击结果中添加的新列中标明,便于排序和数据提取。比如说,在测试SQL注入漏洞,扫描包含“ODBC”,“错误”等消息,来识别可能存在注入漏洞的参数。

Grep Extract -- 这些设置可用于提取响应消息中的有用信息。此选项是从返回包中提取有用的信息。例如,如果可通过ID的参数循环,可以提取每个文档寻找有趣的项目的页面标题。如果您发现返回的其他应用程序用户详细信息的功能,可以通过用户ID重复和检索有关用户管理帐户,忘记密码,邮箱等等。

Grep Payloads -- 这些设置可用于提取响应消息中是否包含Payload的值,比如说,你想验证反射性的XSS脚本是否成功,可以通过此设置此项。

原文地址:https://www.cnblogs.com/alummox/p/9581887.html

时间: 2024-10-08 15:04:46

[工具] BurpSuite--Intruder功能的相关文章

小白日记34:kali渗透测试之Web渗透-扫描工具-Burpsuite(二)

扫描工具-Burpsuite 公共模块 0.Spider 爬网 手动爬网 先禁用截断功能 手动将页面中点击所有连接,对提交数据的地方,都进行提交[无论内容] 自动爬网[参数设置] 指定爬网路径,否则其他子目录也会被爬到[右键,Add Scope] #爬网参数设置 ###爬到页面中仍需要身份认证的页面,需重复输入,也可以忽略. #可导出 #################################################################### burpsuite支持两

小白日记33:kali渗透测试之Web渗透-扫描工具-Burpsuite(一)

扫描工具-Burpsuite Burp Suite是Web应用程序测试的最佳工具之一,成为web安全工具中的瑞士军刀.其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.[属于重量级工具,每个安全从业人员必须会的]但不是开源软件,有其免费版版,但在free版没有主动扫描功能,可用于手动挖掘.[有其破解版,适合个人使用]所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架.

谷歌Chrome浏览器开发者工具的基础功能

上一篇我们学习了谷歌Chrome浏览器开发者工具的基础功能,下面介绍的是Chrome开发工具中最有用的面板Sources.Sources面板几乎是最常用到的Chrome功能面板,也是解决一般问题的主要功能面板.通常只要是开发遇到了js报错或者其他代码问题,在审视一遍代码而一无所获之后打开Sources进行js断点调试,几乎能解决8成的代码问题. js断点功能让人兴奋不已,以前只能在IE中靠alert弹出窗口调试js代码,那样的开发环境对于前端程序员来说简直是一场噩梦.本篇介绍Sources的具体

实现高端报表工具的缓存功能

高端的报表工具都提供了缓存机制,避免报表重复计算带来额外性能开销,节省CPU资源,实现结果共享.报表在计算过程中,大部分时间(85%以上)都消耗在数据源(准备)上,集算器可以用简单的方法实现数据源的缓存复用,让普通报表工具也拥有缓存机制. 实现数据源缓存有两个关键,根据报表不同的参数和宏生成不同的报表缓存:缓存超时时间需要重新计算.下面以实例说明. 报表描述 根据销售记录表计算各销售人员本年销售额和上年销售额,及其增长率,统计客户数与大客户数(订单金额超过10000).报表样式如下: 该报表供公

【ListViewJSON】【工具类的功能与实现】

接上一篇博客,这篇博客的重点是分析listviewjson项目中的工具类的功能,以及如何更好地使用这套工具. 项目源码结构图: 假设现在有一个新的项目,同样是解析json数据,并将其显示到listview中. 那么现在考虑一下如何在两个项目之间进行移植. 首先com.demo.app.common是可以直接进行移植的. 那么需要重新写的就是1.bean 2.adapter 3.以及所有和获取列表数据有关.将数据加载到listvie文中有关的类. MainActivity中通过 NewsList

BurpSuite Intruder 4种攻击模式

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Helvetica Neue"; color: #454545 } p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px "Helvetica Neue"; color: #454545; min-height: 14.0px } p.p3 { margin: 0.0px 0.0px 0.0px 0.0px;

Fiddler工具的基本功能

Fiddler是一款用于网页数据分析,抓取的工具,里面集成了对网页强大的功能外,还可以通过设置,使其对手机的数据也可以进行抓取 Fiddler的原理是: 通过在客户端和服务器之间创建一个代理服务器来对之间交互的HTTP进行监控,默认的监控端口是8888,代理服务器的地址是:127.0.0.1 如下图所示: 打开Fiddler的页面如下: 1:为指定的HTTP协议添加备注 2.对指定的HTTP协议进行重播,用于测试修改后的数据的返回情况 3.清除指定的请求,可以是图片等其他的格式,也可以清除全部

原生 js前端路由系统实现3之代码 构建工具 和 querystring功能

构建 目前前端构建工具流行的是 grunk.js 功能是大而全,但往往大而全的东西为了多样性 需要做额外的配置  我还是想要有一个专门为自己特性项目而生构建工具 我不想加载第三方的node模块,也不想写配置 ,想要的功能也很简单只是根据文件名字进行合并 build.js 名字规则: a-b-c.js 或者 a-b-c.txt a代表文件合并的顺序(这个顺序跟文件显示的顺序一致) 第一固定为0 最后固定为e  b代表合并后的文件名字  c代表自己的文件名字 以下代码会 寻找当前目录下src目录中的

在Java中Arrays工具类实现功能的六种方法

使用Arrays工具类,要先导入包即:import.java.util.Arrays 以下是实现六种功能的方法: 1.比较两个数组值是否相等: 结果为true.false.(布尔型不能比较) int []a={10,20,30}; int []b={10,20,30}; int []c={1,2,3}; boolean isEqual=Arrays.equals(a,b); System.out.println(isEqual); System.out.println(Arrays.equals

小型的版本控制工具-------Xcode快照功能

感觉Xcode的工具很人性化,今天翻阅<ios7应用开发入门经典(5)>,看到快照功能.感觉真的不错,这样不用每次都要去Versions找自己的代码了. 在正在编辑的文档中,创建快照的快捷键: Ctrl + cmd + S . 删除快照:菜单栏中的 Window -> Organizer -> Project ->选择自己的快照 -> Delete SnapShots; 使用快照:菜单栏中File -> Restore SnapShots.