信息安全技术(二)使用Burp Suite的Intruder模块发现敏感目录

最新推荐文章于 2024-05-12 15:36:34 发布
最新推荐文章于 2024-05-12 15:36:34 发布
阅读量310 收藏
点赞数 1
文章标签: 前端 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71253192/article/details/130908307
版权

使用Burp Suite对登录页面进行字典攻击

前言

  • Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
  • Burp Suite的功能:
    : web代理(proxy)
    : request repeater(请求中继)
    : fuzzer(模糊测试)
    : request automation(自动化请求)
    : string encoderand decoder(字符串编解码)
    : vulnerability scanners(漏洞扫描,在专业版)
    : plugins to etend its functionality(插件扩展)和其它非常有用的功能。
  • 一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,暴力攻击在Web应用程序中是不可行的。
  • 一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。在本文中,我们将使用BurpSuite Intruder尝试对登录页面进行字典攻击。

实战演练

使用WackoPicko管理部分登录来测试此攻击:

1. 开启kali靶机和OWASP BWA靶机

如下图所示,OWASP BWA的靶机IP是192.168.80.135
在这里插入图片描述

2. 登录WackoPicko

打开Burp Suite自带的Chromium浏览器并登录靶场中的WackoPicko靶机

3. 这里我用kali的火狐浏览器访问:

http://192.168.22.130/WackoPicko/

点击页面下方的Admin
<

最低0.47元/天 解锁文章
m0_71253192
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用Burp SuiteIntruder模块发现敏感目录
m0_71383067的博客
05-28 900
使用Burp Suite进行Web应用程序安全测试是一项强大的任务。Burp Suite是一款功能强大的网络攻击和漏洞测试工具,可以帮助测试人员测试Web应用程序的安全性。Burp Suite可以通过拦截和修改HTTP请求和响应以及提供各种功能来识别和利用Web应用程序中的漏洞。在使用Burp Suite之前,您需要了解Web应用程序的工作原理。为了获得最佳的测试结果,您应该了解Web应用程序的基础架构和常见的漏洞类型。
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
Burpsuite是一款强大的网络安全工具,尤其在Web应用安全测试领域有着广泛的应用。它是一个集成的平台,包含了多种功能模块,如拦截HTTP代理、扫描器、入侵检测系统等,用于帮助安全专家进行渗透测试和应用程序安全...
Spring的常见敏感目录burp suite插件()
siu~
08-23 455
一个扫描Spring的常见敏感目录burp suite插件
Burp Suite序列之目录扫描
xsq123的专栏
12-01 1724
通过以上五个步骤,我们就可以使用Burp Suite进行目录扫描了。Burp Suite不仅可以爆破账号密码,还可以用来爆破目录使用Burp Suite进行目录扫描有以下优点:无需安装其他工具,只需打开Burp Suite即可无需手动输入网址和字典,只需在浏览器中访问目标网站即可无需切换工具,只需在Burp Suite中选择相应的模块即可可以与其他渗透测试工具协同工作,方便整合当然,Burp Suite也有一些缺点,比如说:需要付费才能使用完整功能需要一定的学习成本才能掌握。
【2024版】最新BurpSuit的使用教程(非常详细)零基础入门到精通,看一篇就够了(2)
最新发布
2401_84862079的博客
05-12 994
下载地址:https://github.com/c0ny1/chunked-coding-converterShiro被动检测地址:https://github.com/pmiaowu/BurpShiroPassiveScan**fastjson被动检测**地址: https://github.com/uknowsec/BurpSuite-Extender-fastjson深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
Kali Linux Web渗透测试手册(第版) - 3.4 - 使用Burp SuiteIntruder模块发现敏感目录...
weixin_30633507的博客
12-04 170
翻译来自:掣雷小组 成员信息: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 这个公众号,一定要关注哦,慢慢会跟上面老哥们一起分享很多干货哦~~ 使用Burp SuiteIntruder发现目录 Intruder模块可以将一个请求多次修改并自动重放,它可以根据自带的规则来生成攻击载荷或者自定义攻击载荷列表实现修改reque...
burpsuite-intruder部分使用教程
小白的劝退之路
10-14 3358
一、简介 Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。...
burpsuite-intruder模块
veinard_F的博客
03-06 341
1、在使用intruder模块之前完成proxy代理功能,即将目标域名导入intruder模块 2、Target(目标) 默认是目标域名IP 3、Pay Positions(攻击位置) 可以修改攻击位置 Attack type 有四种 Sniper: 使用单个字典,对用户名或者密码中的一个进行爆破,另一个保持原有数据,不会同时进行修改 Battering ram: 使用单个字典,对用户名和密码...
(2-5)Burpsuite新版入门介绍----Intruder 入侵者模块
m0_74037729的博客
05-08 433
Payload Encoding :此设置可用于对最终有效负载中的选定字符进行 URL 编码,以便在 HTTP 请求中安全传输。Payload Sets: 载荷设置,burp内置了不同类型的字典可供用户选择,用户可以根据实际情况进行选择。Payload Processing:对加载的payload进行编码、加密、截取等。不同的 Payload type 有不同的。
Web应用安全Burpsuite爆破模块介绍.pptx
06-19
Web应用安全Burpsuite爆破模块介绍 Burpsuite 爆破模块Burp Suite 中的一个强大的工具,用于自动对 Web 应用程序自定义的攻击。Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。用户可以...
Web应用安全Burpsuite重放模块介绍.pptx
06-20
**Web应用安全:深入理解Burp Suite的重放模块** 在Web应用安全测试中,Burp Suite是一款不可或缺的工具,其中的重放模块——Burp Repeater,是手动验证HTTP消息的强大工具。它允许安全研究人员多次重放请求响应,...
Web应用安全Burpsuite工具介绍.pptx
06-18
Burp Suite 是一款集成化的 Web 应用安全测试工具,由 Java 开发,具备跨平台性,主要用于协助安全专业人员进行渗透测试和攻击模拟。它集成了多种功能模块,使测试过程更加高效且灵活。 1. **Burp Target**:此模块...
burpsuite系列使用教程
09-12
3. 提取信息:通过Intruder,可以自动化地从响应中提取有用信息,比如数据库错误消息、敏感URL等,这些信息可能揭示出潜在的安全问题。 4. 注入与扫文件目录Intruder能帮助发现SQL注入、命令注入等漏洞,同时进行...
1-9 Burpsuite Intruder模块介绍
山兔的博客
11-28 1001
Burpsuite Intruder模块介绍 在渗透测试过程中,我们经常使用Burp Intruder,它的工作原理是:Intruder在原始请求数据的基础上,通过修改、添加各种请求参数,设置对应的payload,以获取不同的请求应答。每一次请求中,Intruder通常会携带一个或多个有效攻击载荷(Payload),在不同的位置进行攻击重放,通过应答数据的比对分析来获得需要的特征数据。 Burpsuite Intruder模块使用场景 1、标识符枚举 Web应用程序经常使用标识符来引用用户、账户、资产等
burpsuite使用--Intruder模块
pakho_C的博客
01-15 6390
burpsuite使用Intruder模块 proxy模块使用参考链接:burpsuite使用–代理模块 Intruder模块burpsuite的核心之一,用于对目标进行自定义的’测试’,功能十分强大 下面通过例子进行演示,使用靶场sqli-labs-master进行演示 首先抓包 然后点击右键,将此数据包发送至Intruder模块 可以看到,intruder模块有4个选项 Target Positions Payloads Options 此时Intruder模块会高亮显示,并且自动从数
Burpsuite模块—-Intruder模块详解
weixin_58849785的博客
04-09 1521
Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。
Burp suite-intruder模块
weixin_49349476的博客
04-26 1290
在获取到url之后,对其中的请求参数进行修改,这个修改是基于现成的字典或者生成的字典,来带入请求参数,自动化地发起http请求,然后分析响应内容,来获得特征数据。对什么参数值进行破解,就选中,加上payload值 这里是对密码进行破解,所以先对清楚全部的payload。payload十几种类型,可以根据需要需要,如果选择简单列表,就有一个字典输入,可以用自己的字典进行输入,可以burp自带的一个字典。然后选中攻击,攻击类型有四种,根据需要自行选择,这里选择sniper,精准打击。
burpsuite目录
08-12
Burp Suite 是一款功能强大的网络安全测试工具,它可以用于扫描目录发现网站中的隐藏路径。在使用 Burp Suite 进行目录扫描时,你可以通过以下步骤进行操作: 1. 配置代理:启动 Burp Suite 并配置你的浏览器将其设置为代理。这样,所有的请求和响应都会通过 Burp Suite 进行中转处理。 2. 浏览网站:使用浏览器访问目标网站,并浏览它的不同页面。 3. 抓取请求:在 Burp Suite 的 Proxy 标签页中,查看拦截的请求列表。选择其中一个请求,右键点击并选择 "Send to Intruder",将其发送到 Intruder 模块。 4. 配置 Payload:在 Intruder 标签页中,可以配置 Payload,即用于攻击目标的不同参数值。可以自定义 Payload 的位置和内容,以便进行目录扫描。 5. 启动攻击:配置好 Payload 后,点击 "Start Attack" 开始攻击。Burp Suite 将自动发送带有不同 Payload 的请求,并记录响应结果。 6. 分析结果:在 Intruder 标签页中,你可以查看攻击结果并分析响应。通过观察状态码、页面内容等信息,可以发现隐藏的目录敏感路径。 请记住,在进行任何安全测试活动时,请确保遵守适用法律和道德准则,并获得合法授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0_71253192

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值