burp suite的四种 attack type(攻击类型)

最新推荐文章于 2024-04-28 23:48:37 发布
最新推荐文章于 2024-04-28 23:48:37 发布
阅读量7.1k 收藏 46
点赞数 12
文章标签: burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38632151/article/details/102600053
版权

目录

Sinper(狙击手)

第一种攻击方式sinper主要是将bp截的包各个用$$符号标记的数据进行逐个遍历替换。实际效果如下:
切入intruder模块下的Positions
这里选择sinper的Attack type
如上图显示,有4处标记了的数据。然后进入Payloads中,加入一个简单的字典,如下图,加入了具有10个条目的字典 (payload count为10):

显示请求数是40,跑一遍看看效果




实际效果是将各个被标记的位置依次进行了字典中的替换并发包,所以最终的request count 为40


Battering ram(攻城槌)

这种攻击方式是将包内所有标记的数据进行同时替换再发出,具体效果如下:

同样切入Payloads中

我们可以看到请求数和字典中的数据条目数是一样的,跑一遍看看效果:

发现每次测试里所有加入$$的字段都被字典中的同一条目所覆盖


Pitchfork(干草叉)


如下图,我们发现payload set可以选1234,因为我们前面用$$标记的字段就是四个,具体原因下面会说:

payload set 选项分1234,每个set都可以进行字典的添加



发现最终的请求数只有3,跑一遍看看效果:

可以看出,这种攻击方式是将四个被标记的位置,分别使用各自加入的payload进行替换,1234的位置顺序对应的数据包里从上到下从左到右的顺序,所以说有4个位置进行标记,前面所说的payload set就是4,而因为set为4的字典中只有3个数据,所以为了满足组合的规律,最多只能有3个请求数(request count)


Cluster bomb(集束炸弹)


同样是最多加载4个payload set,和上面稍有不同,这个方法是将四个字典所有可能的结果都进行了尝试,可以理解为暴力破解,穷举法。

请求数为各个payload加载到字典条目数的乘积,所以是1440请求数,这里就不跑了,请求数有点多。

Regenwald
关注
  • 12
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
Burp suite】intruder内的四种攻击模式(attack type)分析!
未配妥剑 已入江湖
07-04 653
在进行暴力破解的时候有一步是Positions标签,顾名思义,确定位置,这时候经过对post内容进行分析,很容易判断出密码的位置! 比如说:__EVENTVALIDATION=%2FwEWAgKE3%2FroDAKM54rGBizM3OcjQyD9M8xo9Mrj%2BKNO0Havfxj6NlgBeAgIdaBY&UserName=201840442048&UserP...
BurpSuite工具爆破模块的四种攻击类型Attack type)作用
最新发布
2301_78482161的博客
04-28 258
交叉爆破于平行爆破最大的区别是,交叉爆破第一个字典的数据,每个都会与第二个字典中的数据跑一遍。有两个参数和两个字典(n对n),字典和参数的数量必须是对应的。2.用你添加对字典对这一个参数进行爆破。两个参数共用一个字典进行爆破。1.当你选择一个参数时。
Burpsuite十大模块详细功能介绍
lau_jw的博客
10-26 1178
BurpSuite 是用于攻击web 应用程序的集成平台,包含了许多工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。准备工作:👉下载&安装&设置代理2. Target(目标)显示目标结构1)Site MapSiteMap会在目标中以树形和表形式显示,并且还可以查看完整的请求和响应。树视图包含内容的分层表示,随着细分为地址,目录,文件和参数化请求的URL。您还可以扩大有趣的分支才能看到进一步的细节。如果您选择树的一个或多个部分,在所有子分支所选择的项目和项目都显示在表视图。
Burp Suite Intruder的4种攻击类型
ndjnddjxn的博客
03-25 528
burpsuite的爆破方式
[Burp Suite完整教程] Intruder Attack type&Payloads – 拥有上千种姿态的攻击模式
软测小生
04-07 7090
今天要介绍Intruder中的Attack type跟Payloads,Intruder可以进行的攻击与测试组合方式真的不少,有时候不是Intruder办不到,而是你不知道原来Intruder可以办得到。 首先是Positions下的Attack type,总共有四种攻击模式,分别为 sniper(狙击枪)、Battering ram(攻城槌)、Pitchfork(干草叉)、cluster bomb(集束炸弹)。 为了方便说明,我将登录部分的账号与密码皆设为变量,初始值账号我用admin,密码passw
一起学安全测试——Burp Suite Intruder的4种攻击类型
热门推荐
灰蓝
03-21 1万+
Burp 的Intruder是一个十分有用的攻击工具,能够很方便的组织各种数据进行攻击,它有4种攻击类型,光听名字很容易困惑,接下来我们结合实例一块分析一下 一 Sniper(狙击手模式)狙击手模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下组合(除原始数据外): attack NO.
实战图解分析Burpsuite暴力破解Intruder下的四种攻击类型Attack type
moonquake
07-01 2682
BurpSuite攻击类型有4种 注意:所有实验,都添加相同的3个payload位置: 第1个payload位置用数字,payload count 都是3个(1,2,3) 第2个payload位置用字母,payload count 都是4个(a,b,c,d) 第2个payload位置用特殊字符,payload count 都是2个(@,@@) -------------------------------------------------------------------- 1. 第一..
Burp suite攻击类型选择
YIGAOYU的博客
04-08 490
Burp suite攻击类型选择 这次我们主要学习一下攻击类型的选择 Sniper 我们先来用一下Sniper 选定一个参数 再Payloads中设置攻击包,然后开始攻击 这个页面我们需要简单的了解一下。 Battering ram 可以多个点一次性的测试 可以看到这里我们标记了两个参数然后其他设置不用变,只修改攻击类型为Battering ram,开始攻击 可以看到他是两个参数...
1-12 Burpsuite Attack Type介绍
山兔的博客
12-01 716
Burpsuite Intruder模块 Position介绍 针对HTTP某个位置或某几个位置进行模糊测试,需要选择不同的位置以及对应的Attack Type。 以及在下面提交的参数中选择对应的测试位置,添加对应的变量,如果说添加错误,可以清除或者是自动添加以及Refresh刷新 接下来你们可以自己去试一下,我这里就不演示了 Burpsuite Intruder模块 Position介绍 Attack Type: 1、Sniper 狙击枪模式,只针对一个位置进行探测。 前几篇文章当中已经用到了好几次,你
关于Burp SuiteAttack Type
公众号shadow sock7
06-07 1250
参考: https://t0data.gitbooks.io/burpsuite/chapter8.html 在消息编辑器的上方,有一个下拉选择框,攻击类型Attack Type)。Burp Intruder支持使用Payload进行多种方式的模拟攻击,目前只要有以下4种。 - 狙击手模式(Sniper)——它使用一组Payload集合,依次替换Payload位置上(一次攻击只能使用一个P
Burp Suite社区版 (burpsuite_community_linux_v2021_10_3.sh)
01-09
Burp Suite社区版 (burpsuite_community_linux_v2021_10_3.sh适用于Linux系统) 可免费使用,是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。...
Burp Suite 社区版(burpsuite_community_windows-x64_v2021_10_3.exe)
01-09
Burp Suite 社区版(burpsuite_community_windows-x64_v2021_10_3.exe适用于Windows系统) 可免费使用,是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序...
Burp suite—Intruder中Attack Type模式详解
weixin_44431280的博客
03-10 1491
Burp suite—Intruder中Attack Type模式详解 提要:Burp suite集成工具中的Intruder模块在日常的使用的安全测试中会经常频繁使用,Intruder中的攻击类型Attack Type)也是会经常使用到的,了解其四种类型的区别和使用常见是很重要的。 攻击模块总览: 一:Sniper(狙击手):只能选择一个字典 当只有一个参数时:参数会依次匹配字典中的参数值 1,抓取数据包,设置单个参数: 2,字典选择&参数匹配: 当设置两个参数时: 两个参数被依次匹配了字典
Burp Suite Intruder4种攻击类型
夏日 の blog
03-20 1370
目录Sniper(狙击手模式)Battering ram(攻城锤模式)Pitchfork(草叉模式)Cluster bomb(集束炸弹模式) Sniper(狙击手模式) 狙击手模式只能使用一组payload,它一次只使用一个payload位置。假设你标记了A位置和B位置,payload为m,n。那么会形成下列4种组合。 第几次攻击 A位置数值 B位置数值 1 m 原来的数值 2...
burp suite 的intruder 四种攻击方式
weixin_30788619的博客
04-11 303
一:sniper【狙击手】 这种攻击基于原始的请求内容,需要一个字典,每次用字典里的一个值去代替一个待攻击的原始值。 攻击次数=参数个数X字典内元素个数 例如:原始请求中 name=aa ,password=bb, 字典: { 1 ,2 }; 那么会产生四个请求: name=1 ,password=bb name=2 ,password=bb name=aa ,pas...
burpsuite攻击类型
07-27
Burp Suite 是一款常用的网络应用程序渗透测试工具,它可以用于发现和利用 Web 应用程序中的安全漏洞。以下是一些常见的 Burp Suite 攻击类型: 1. 注入攻击:通过将恶意代码注入到应用程序中,如 SQL 注入、命令注入、XSS(跨站脚本)等。 2. CSRF(跨站请求伪造)攻击:通过伪造用户请求,向受害者发起意外或未授权的操作。 3. XSS(跨站脚本)攻击:通过在受害者的浏览器上执行恶意脚本,实施攻击。 4. 文件包含攻击:通过利用应用程序中存在的文件包含漏洞,读取或执行未授权的文件。 5. 配置错误攻击:通过发现应用程序中的配置错误,如敏感信息泄露、目录遍历等,来获取未经授权的访问权限。 6. 会话劫持攻击:通过盗取用户的会话标识符或会话凭证,来冒充合法用户进行操作。 7. 文件上传漏洞攻击:通过利用应用程序中存在的文件上传漏洞,上传恶意文件并执行任意代码。 这些只是一部分常见的攻击类型Burp Suite 还提供了各种其他功能和插件,用于检测和利用应用程序中的安全漏洞。在使用 Burp Suite 进行渗透测试时,请务必遵循法律和道德准则,并获得适当的授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值