burpsuit暴力破解模块:
可以看到该标签页还可以选择攻击类型(Attack type),共有四种类型可以选择,分别是:Sniper型、Battering ram型、Pitchfork型和Cluster bomb型。这里以两个要爆破的变量为例进行说明,只有一个要爆破的变量对于这四种攻击类型来说是没有区别的。
(1)Sniper型(狙击手)
只需要设置一个Payload set,在两个变量的位置逐一替换Payload,每次只替换一个位置,先替换前面再替换后面,如果你的Payload set中有两个Payload,那么在爆破时会发送四次请求。
(2)Battering ram型(撞击物)
只需要设置一个Payload set,在两个变量的位置同时替换相同的Payload,如果你的Payload set中有两个Payload,在爆破时会发送两次请求。
(3)Pitchfork型
需要设置两个Payload set,这时候两个变量的位置和两个Payload set是一一对应的关系。
(4)Cluster bomb型
需要设置两个Payload set,这时候每个位置的Payload将在Payload set中进行排列组合。在爆破时共要发送2*2=4个请求
1,snipper(狙击手模式):
攻击:
admin位置为2则实际是:user=admin&password=admin
2,Battering ram(破城槌)
密码和用户名一样
3,Pitchfork(音叉)
设置的两个payload按顺序一一对应
比如用户字典:root,admin;密码字典:123456,000000
则共发起两个请求。user=root&password=123456和user=admin&password=000000
4,Cluster bomb(集束炸弹):
假如用户字典:root,admin;密码字典:123456,000000
共发起四个请求:user=root&password=123456和user=root&password=000000
两个payload进行组合。