渗透测试-BurpSuite爆破(Intruder)模块四种模式介绍

已于 2023-01-20 10:37:10 修改
阅读量4.5k 收藏 31
点赞数 9
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-05-01 15:14:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/124527365
版权

前言

bp的intruder模块有四种模式:Sniper、Battering ram、Pitchfork、Cluster bomb,接下来分别介绍一下四种模式的区别。
在这里插入图片描述

1. Sniper (狙击手)

可以理解为一个一个爆破
在这里插入图片描述
这里选择sniper,然后标记name和pwd 两个参数
在这里插入图片描述
payload set只能选一个,也就是字典只能设置一个,然后用字典替换选择的参数
在这里插入图片描述
结果就是pwd为初始值(123)不变,pwd用字典遍历一遍,然后name为初始值(123)不变,pwd用字典遍历一遍。

2. Battering ram

第二种 Battering ram
在这里插入图片描述在这里插入图片描述
payload set 依然只能选一个,也就是字典只能设置一个
在这里插入图片描述
结果就是同时将name和pwd替换为字典内容遍历一遍,name和pwd都一样。

3. Pitchfork

在这里插入图片描述
在这里插入图片描述
payload set 可以选2个,也就是字典可以设置2个
在这里插入图片描述
结果就是name和pwd同时替换为字典,但name用字典1遍历,pwd用字典2遍历。如果两个payload行数不一致的话,取最小值进行测试。

4. Cluster bomb

在这里插入图片描述
在这里插入图片描述
payload set 可以选2个,也就是字典可以设置2个

在这里插入图片描述
结果就是字典1和字典2的笛卡尔积。也就是将name替换为字典1中的参数1,然后pwd遍历字典2,然后将name替换为字典1中的参数2,然后pwd遍历字典2……

总结

Attack TypePayloads set(字典数)结果
Sniper1一个参数保持初始值不变,另一个遍历字典
Battering ram1两个参数同时遍历同一个字典
Pitchforkn (取决于参数选几个)两个参数同时遍历两个不同的字典
Cluster bombn (取决于参数选几个)两个字典的笛卡尔积遍历
炫彩@之星
关注
  • 9
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Burp Suite Intruder四种密码爆破模式简析
09-23 6402
BurpSuite intruder attack-type 4种爆破模式 Sniper 单参数爆破,多参数时同一个字典按顺序替换各参数,总之初始值有一个参数不变 Battering ram 多参数同时爆破,但用的是同一个字典 Pichfork 多参数同时爆破,但用的是不同的字典 Cluster bamb多参数做笛卡尔乘积模式爆破 1. Sniper(...
使用BP的intruder模块练习暴力破解
yumiweitaozi的博客
03-31 2298
用BP的intruder模块练习暴力破解密码 在页面输入正确的账号和对应密码123456会显示success,输入错误会显示fail 然后进入bp截取数据然后点击action下的send to intruder 然后选择position下可以看到截取的数据 使用clear清除 然后选中密码部分点击add,发现选中部分变成高亮 然后点击paylo...
burp suite爆破四种模式解析
weixin_50647674的博客
04-03 2749
burp suite爆破四种模式解析
Burp Suite爆破模块中的四种模式的区别详解和演示(暴力破解)
qq_45705626的博客
11-06 8581
最近看了好多关于的博客,其中用的最多的工具就是bp了,但是好多都是一上来给了执行步骤,却没有对爆破的这几个模式选择进行解释,所以今天萌新写个纪录,来阐明这四个模式的区别和作用。
ctfshow-web入门——爆破web21-web28)
最新发布
2401_84578953的博客
05-17 1081
[在这里插入图片描述](https://img-[在这里插入图片描述](https://img-payload type选Custom iterrator,position1填admin,position2填:,position3导入字典,按照上面步骤直接爆破
BurpSuite爆破Intruder模块四种模式介绍
热门推荐
weixin_43487849的博客
04-24 1万+
前言 bp的intruder模块四种模式Sniper、Battering ram、Pitchfork、Cluster bomb,接下来分别介绍一下四种模式的区别。 1. Sniper (狙击手) 可以理解为一个一个爆破 这里选择sniper,然后标记name和pwd 两个参数 payload set只能选一个,也就是字典只能设置一个,然后用字典替换选择的参数 结果就是pwd为初始值(123)不变,pwd用字典遍历一遍,然后name为初始值(123)不变,pwd用字典遍历一遍。 2. Batter
BP爆破工具总结四种模式(详细)
WSXB15775373568的博客
05-07 2290
字典导入顺序与添加修改位置的顺序是一致的。第二个位置参数保持原先参数不变。以上就是BP爆破四种结果。爆破工具总结四种模式。每个位置有四种情况,第一个位置在测试参数。
burpsuite四种爆破模式
Alsn86的博客
11-01 5079
burpsuite四种爆破模式 准备字典1.txt和a.txt 准备字典a.txt sniper模式 对两个变量只可以设置一个字典 逐一爆破两个变量,爆破一个,另一个值就是原始的那个不变 Battering ram模式 对两个变量只可以设置一个字典 一炮双响 Pitchfork模式 两个变量可以选两个字典 一一映射 两个字典列数不一样时,就以短的字典长度为准,把1.txt长度增加为8,a.txt长度依旧为6 爆破时,只对前6组进行匹配(以长度短的字典为准) Cluster b
BurpSuite手册-007-Burp Intruder
06-24
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
使用Burpsuite精通Web渗透测试-英文版 非常好
05-20
使用Burpsuite精通Web渗透测试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute ...
BurpSuite手册-015-Burp Suite tools-logger
07-01
Burp Suite 是一款强大的Web应用程序安全测试平台,包含多个工具,旨在帮助安全专家进行渗透测试和漏洞检测。本文主要关注其内置的Logger组件,这是一个记录和分析HTTP流量的工具,对于理解和诊断测试过程中的问题...
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
【DVWA】--- 一、暴破(BruteForce)
qq_43168364的博客
05-31 1395
BruteForce 一、low 在登录时使用bp进行抓包 将抓到的包发送到Intruder模块。设置需要爆破的参数,和爆破的类型。 这里爆破的类型一共有四种sniper:一个字典,先匹配第一项再匹配第二项。 Battering ram:一个字典,同用户名同密码匹配。 Pitchfork:两个字典,同行匹配,短的截至。 Cluster bomb:两个字典,交叉匹配所有可能。 一般建议......
Burp Suite爆破模块四种模式的区别
m0_63301541的博客
04-18 909
sniper(狙击手):适用于只有一个参数的爆破。Battering ram(破城槌):属实鸡肋,实在想不到有啥应用场景,求大佬指点。Pitchfork(木叉、杈):适用于知道账号,不知道密码,且有一个在前端随时刷新的数据的爆破场景(如pikachu的“token防爆破”)。Clusterbomb(集束炸弹):适用于大部分的爆破场景,除了有一个在前端随时刷新的数据的场景。(也就是木叉应用场景)。
bp爆破的使用方法(学习中)
2401_82733038的博客
03-19 539
接着,打开拦截功能,在浏览器中随便输入一个用户名、密码,执行登录操作,这样在 BP 工具拦截模块中可以拦截到这个请求。首先,在浏览器中选择bp代理,我们需要在开发者工具栏进行抓包分析,在 BP 工具中 Proxy 选项中配置拦截规则。分别是:Target,Positions,Payloads,Resource Pool,Options。然后,在 Intruder 模块中配置 5 个功能标签选择与我们需要爆破的一致 选择攻击类型。Sniper :在单一目标,已知用户名,密码未知时选择。
关于Burp Suite的Intruder四种爆破模式
enj0ym4
10-24 2803
Burp SuiteSniper(狙击手)Battering ram(攻城锤)Pitchfork(干草叉)Cluster bomb(集束炸弹) Sniper(狙击手) 单个参数: 只能添加一个payload,目标只有一个。 多个参数: 也只能添加一个payload,从上到下,对参数逐个爆破。 此处sniper(狙击手)指的是payload,而狙击的目标就是各个参数。 Battering ram(攻城锤) 单个参数: 只能添加一个payload,目标只有一处。 多个参数 只能添加一个payloa
BurpSuite报错:Payload set 1: Invalid number settings
JaaackieHa的博客
09-16 1991
自己记录一下吧~ 进行数字爆破时,这里一直为0 start attack一直出现这个错误: 根据burp intruder爆破出现 Payload set 1: Invalid number settings的解决办法_fjh1997的博客-CSDN博客 还是不行。。。 后来,原来是我大意了。。。设置后,终于都来了 ...
python-burpsuite
09-27
python-burpsuite是Burp Suite的一个Python插件,它允许用户使用Python语言编写自定义插件来扩展Burp Suite的功能。与Java和Ruby插件类似,开发者可以使用Python来实现他们想要的功能。要使用python-burpsuite插件,您需要按照以下步骤进行操作: 1. 确保您已经安装了Burp Suite,并且已经在您的环境中正确配置了Python解释器。 2. 下载并安装python-burpsuite插件。您可以在https://github.com/PortSwigger/python-burpsuite上找到该插件的源代码和文档。 3. 根据python-burpsuite的文档,了解如何使用该插件和编写自定义插件。 4. 编写您的自定义插件代码,并确保按照插件的要求对其进行命名和组织。您可以使用Burp Suite提供的API和功能来访问和操作Burp Suite的各种功能和数据。 5. 在Burp Suite中加载您的自定义插件。您可以通过点击“Extender”选项卡,然后选择“Extensions”子选项卡,并点击“Add”按钮来加载插件。 6. 测试和调试您的自定义插件,确保它能够按照您的预期工作。 请注意,以上步骤仅适用于使用python-burpsuite插件进行自定义插件开发。如果您需要使用其他语言的插件,您需要按照相应的文档和要求进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值