burpsuit学习笔记
burpsuit intruder 暴力破解:
(1).payload type
a. simple list:简单列表最简单的Payload类型,通过配置一个字符串列表作为Payload,也可以手工添加字符串列表或从文件加载字符串列表
b. runtime file:运行时文件 ——指定文件,作为相对应Payload位置上的Payload列表Burp Intruder将读取文件的每一行作为一个Payload。
c. custom iterator :自定义迭代器(Custom iterator)——这是一款功能强大的Payload,它共有8个占位,每一个占位可以指定简单列表的Payload类型,然后根据占位的多少,与每一个简单列表的Payload进行笛卡尔积,生成最终的Payload列表。例如,某个参数的值格式是username@@password ,这个例子中一共有三个占位
d. character substitution:字符串替换(Character substitution)——顾名思义,此种Payload的类型是对预定义的字符串进行替换后生成新的Payload。比如说,预定义字符串为ABCD,按照下图的替换规则设置后,将对AB的值进行枚举后生成新的Payload。
e. case modification: 大小写替换——对预定义的字符串,按照大小写规则,进行替换
f. recursive grep:递归grep ——此Payload类型主要使用于从服务器端提取有效数据的场景,需要先从服务器的响应中提取数据作为Payload,然后替换Payload的位置,进行攻击。它的数据来源了原始的响应消息,基于原始响应,在Payload的可选项设置(