使用Burp Suite执行更复杂的Intruder攻击

最新推荐文章于 2024-04-09 16:01:45 发布
最新推荐文章于 2024-04-09 16:01:45 发布
阅读量234 收藏
点赞数
文章标签: 开发语言 网络安全 程序人生 信息安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklbnm12/article/details/121042768
版权

使用Burp Suite执行更复杂的Intruder攻击

最近我做了一个渗透测试,其中并没有太多的攻击面,但有一个防火墙设备和一种基于浏览器的SSL VPN服务。除了从LinkedIn收集的一些用户名之外,没有太多事情能做,这似乎是一个值得尝试的入口。我希望能通过password spray(解释见文后译者注)破解这些账户,而且我也想要一些可能已经在设备上定义的本地用户,比如root、fwAdmin、admin等。我不太担心这些账号会被锁定,所以最后我就试着对这些账号直接暴力破解。

但是问题出现了,现实总是如此。即便使用了TLS加密,该设备在HTTP请求中也没有提交密码。此处使用了某种摘要算法,看起来像是MD5:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hT7zh3GF-1635513177575)(https://bbs.pediy.com/upload/attach/201712/747358_torqt2wnejuqakv.jpg)]

此外,目标URL与其来源表单不同。查看登录过程,我得出结论,我首先需要请求该表单,收集多个值,最后使用我提供的密码进行某种摘要计算。下面的内容来自于登录页面:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MG1MK78L-1635513177586)(https://bbs.pediy.com/upload/attach/201712/747358_d9r00aypgnrqiej.jpg)]

我看了一下“processBu

最低0.47元/天 解锁文章
网安溦寀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
18-5 burpsuite模块介绍之Intruder
weixin_43263566的博客
12-28 1369
使用【Auto $】按钮:点击【Auto 】按钮,������������将自动识别请求中的参数并为其添加】按钮,BurpIntruder将自动识别请求中的参数并为其添加前缀。使用【Clear 】按钮:选中一个或多个已经带有】按钮:选中一个或多个已经带有前缀的参数,然后点击【Clear 】按钮,将去除这些参数的】按钮,将去除这些参数的前缀。使用【Add $】按钮:选中一个或多个参数,然后点击【Add 】按钮,将为这些参数添加】按钮,将为这些参数添加前缀,表示它们将被作为攻击载荷进行替换。
BurpSuite实战八之使用Burp Intruder
悦分享
06-11 2602
Burp Intruder作为Burp Suite中一款功能极其强大的自动化测试工具,通常被系统安全渗透测试人员被使用在各种任务测试的场景中。本章我们主要学习的内容有:Intruder使用场景和操作步骤Payload 类 型 与 处 理Payload 位置和攻击类型可选项设置(Options)Intruder 攻击和结果分析Intruder使用场景和操作步骤在渗透测试过程中,我们经常使用Burp Intruder,它的工作原理是:Intruder在原始请求数据的基础上,通过修改各种请求参数,以获取不同的请求
Burp Suite---Intruder小技巧
08-16
Burp Suite---Intruder小技巧
Burp Suite详细使用教程-Intruder模块详解
weixin_30872733的博客
10-21 263
Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。 平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。 Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序...
Burp suite-intruder模块
weixin_49349476的博客
04-26 1324
在获取到url之后,对其中的请求参数进行修改,这个修改是基于现成的字典或者生成的字典,来带入请求参数,自动化地发起http请求,然后分析响应内容,来获得特征数据。对什么参数值进行破解,就选中,加上payload值 这里是对密码进行破解,所以先对清楚全部的payload。payload十几种类型,可以根据需要需要,如果选择简单列表,就有一个字典输入,可以用自己的字典进行输入,可以burp自带的一个字典。然后选中攻击攻击类型有四种,根据需要自行选择,这里选择sniper,精准打击。
Burp Suite入侵者(Intruder)模块使用详解
i8o6o6的博客
12-03 6570
Burp Intruder是用来自动化攻击Web应用程序的工具,且攻击可配置。 能暴力猜测Web目录、主动利用盲SQL注入漏洞等。 攻击原理:从别的模块接收HTTP请求,每次攻击必须指定一到多组payload和payload在请求中的的位置,攻击时发送修改过的每个版本的请求并分析应用程序的响应。 Target 此选项用来配置目标服务器信息 Host:目标服务器的IP地址或主机名 Port:服务的端口号,80端口对应web服务 Use HTTPS:是否应该使用TLS https相较于htt
Burpsuite模块—-Intruder模块详解
weixin_58849785的博客
04-09 1793
Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击
burpsuite使用手册.pdf
11-10
如果不工作,可以运行在命令提示符或终端输入命令:Java – jar burpsuite_v1.4.jarBurp。 在配置 Burp Suite 时,需要选择代理端口,配置浏览器的代理设置,并指定代理端口为 8080(或任何您正在运行的端口)。...
使用Burp SuiteIntruder模块发现敏感目录
m0_71383067的博客
05-28 948
使用Burp Suite进行Web应用程序安全测试是一项强大的任务。Burp Suite是一款功能强大的网络攻击和漏洞测试工具,可以帮助测试人员测试Web应用程序的安全性。Burp Suite可以通过拦截和修改HTTP请求和响应以及提供各种功能来识别和利用Web应用程序中的漏洞。在使用Burp Suite之前,您需要了解Web应用程序的工作原理。为了获得最佳的测试结果,您应该了解Web应用程序的基础架构和常见的漏洞类型。
Burp suite Intruder功能详解
weixin_45808483的博客
11-18 3016
目录 Target Positions 攻击类型 第一种 Sniper: 第二种 Battering ram: 第三种 Pitchfork: 第四种 Cluster bomb : 总结 Payloads Opetions Target Positions 攻击类型 第一种 Sniper: Sniper - 这个模式是我们最常用的,Sniper是狙击手的意思。这个模式会使用单一的payload【就是导入字典的payload】组。它会针对每个position中$$位置设
burp suite 2023.10 Intruder模块详解)
diaobusi的博客
11-25 3648
Intruder 模块是Burp suite的一个重要功能,用于自动化攻击和对目标应用程序进行大规模的攻击测试。
【转】burp suite intruder模块详解
mastergu2的博客
07-19 326
原文:https://blog.csdn.net/u011781521/article/details/54772795/ 一、简介 Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击
BurpSuite使用指南-使用Burp Intruder
2201_75735270的博客
04-01 1442
共有8个占位,每一个占位可以指定简单列表的Payload类型,然后根据占位的多少,与每一个简单列表的Payload进行笛卡尔积,生成最终的Payload列表例如,某个参数的值格式是username@@password将会生成大量的这种格式参数。
burpsuiteintruder模块简介
u011975363的专栏
04-10 3054
burpsuiteintruder功能由sniper(狙击手),Battering ram(攻城槌),Pitchfork(叉子),Cluster bomb(爆炸时迸射出许多小炸弹的集束炸弹) 组成,各模块的功能可从名字看出。 在使用各个功能前,我们需要将捕获的数据包,发送到intruder模块: Sniper (狙击手)– 这个模式使用单一的payload组。它会针对每个位置设置payl...
关于Burp Suite Intruder 的四种攻击方式
weixin_30549657的博客
04-03 573
以下面这一段参数为例,被§§包围的部分为需要破解的部分: user=§ss§&password=§zxcv§&imageField.x=17&imageField.y=1 (1) (2) ---------------------------------------------------------- payload1 = [admi...
Burp Suiteintruder的四种攻击模式
qq_56313338的博客
07-23 725
详细介绍了Burp Suiteintruder的四种攻击模式
Burp Suite - Intruder暴力破解模块的4种攻击类型
JiangBuLiu的博客
02-27 4522
Intruder标签下有四种攻击方式词典Sniper(狙击手模式)Battering Ram(攻城锤模式)Pitchfork(草叉模式)Cluster Bomb(集束炸弹模式) 转载自https://www.cnblogs.com/Kevin-1967/p/7762661.html 词典 假设有用户名和密码两个positionpositionposition,词典分别如下: user1,user2...
burp的宏功能爆破dvwa实战测试
weixin_45439432的博客
09-28 620
搭建dvwa环境https://www.jianshu.com/p/97d874548300 级别选择低,中,高均可 准备burp Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享...
Burp Suite 中,暂停 Intruder
最新发布
08-29
如果你想在执行Intruder扫描期间暂时停止攻击,你可以采取以下几个步骤: 1. **点击暂停按钮**:通常,在Intruder界面的右上角,你会看到一个暂停/继续(Pause/Resume)的图标,形状像一个圆圈和斜线。点击这个按钮...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值