**
Burpsuite
**
Intruder四个模块
一、Target 用于配置目标服务器进行攻击的详细信息。
二、Positions 指定Request发包前要修改的参数位置,及字典如何填充到参数中 四种攻击类型:
①、Sniper(狙击手模式)一次只使用一个payload位置,标记两个位置时:
attack NO. location A location B
1 1 no replace
2 2 no replace
3 no replace 1
4 no replace 2
②、 Battering ram(攻城锤模式)
只使用一个payload集合,不同的地方在于每次攻击都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置
attack NO. location A location B
1 1 1
2 2 2
③、 Pitchfork(草叉模式)
允许使用多组payload组合,在每个标记位置上遍历所有payload组合,假设有两个位置“A”和“B”,payload组合1的值为“1”和“2”,payload组合2的值为“3”和“4”,则攻击模式如下
attack NO. location A location B
1 1 3
2 2 4
④、 Cluster bomb(集束炸弹模式)
集束炸弹模式会对payload组进行笛卡尔积,还是上面的例子,如果用集束炸弹模式进行攻击,则除baseline请求外,会有四次请求
attack NO. location A location B
1 1 3
2 1 4
3 2 3
4 2 4
选择要爆破的输入位置
① “Clear”——②选择要处理的地方——③点“Add”
三、Payloads 指定‘字典’,及每一次取出字典时,是否要进一步编码字典等
四、 Positions处选择了有效载荷的位置,playloads需要输入有效载荷,比如说爆破的密码字典
Opetions 此选项卡包含了request headers,request engine,attack results ,grep match,grep_extrack,grep payloads和redirections。你可以发动攻击之前,在主要Intruder的UI上编辑这些选项,大部分设置也可以在攻击时对已在运行的窗口进行修改。