使用Burp Suite的Intruder模块发现敏感目录

已于 2023-07-04 22:27:18 修改
阅读量172 收藏
点赞数
文章标签: linux 网络 windows 服务器
于 2023-07-04 20:59:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71207842/article/details/131542995
版权

目录

一、前言

二、 Intruder(暴力破解模块)

三、 实验环境准备

3.1 本次实验,老师靶场的IP是192.168.22.129,如下图示,同学们要看清楚自己靶场的IP是多少。

3.2 另外,在“整个本课程中”,老师靶场的“网络适配器”是设置为NAT模式,如下图示:

3.3 打开Kali linux中的Burp Suite Community并配置Burp Suite的Chromium browser英[ˈkrəʊmiəm]n.铬

3.4 WackoPicko.com已经打开

四、 实验对象

五、 实验手段

六、 开始实验

5.1 在2.3视频的最后,我们使用BP自带的Chromium浏览器打开了网站WackoPicko.com,此时Burp Suite中记录了相关的HTTP历史记录,如下图示:

5.2 在Proxy模块中,找到对WackoPicko.com根路径的请求包,右键选中它,再选择Send to intruder,如下图示:

5.3 在Positions模块中,点击clear§

5.4 在URL的最后一个/后面随便添加一个字段,例如字母a,然后选中它,再单击Add§按钮,字母a的前后就会自动加上§,那么这样就会让这个选中的字符成为一个修改点,如下图示:

5.5 切换到Payloads选项卡,载入攻击载荷

5.6 在Payloas选项卡中载入small.txt

5.7 Start attack

5.8 根据status排序

七、 相关知识与技能

一、前言

         Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。

二、 Intruder(暴力破解模块)

intruder英[ɪnˈtru:də(r)]n.闯入者,侵入者; 干扰者,妨碍者; 爱管闲事的人; [航]轰炸机

Interder是一个强大的模块,可以用于自动对web应用程序进行无差别、自定义攻击,它可以用来自动执行您的测试过程中可能出现的所有类型的任务。例如目录爆破,注入,密码爆破等。

http://<iframe src="//player.bilibili.com/player.html?aid=784396454&bvid=BV1W14y1D7mV&cid=1154486086&page=1" scrolling="no" border="0" frameborder="no" framespacing="0" allowfullscreen="true"> </iframe>​​​​​​​​​​​​​​

三、 实验环境准备

3.1 本次实验,老师靶场的IP是192.168.22.129,如下图示,同学们要看清楚自己靶场的IP是多少。

3.2 另外,在“整个本课程中”,老师靶场的“网络适配器”是设置为NAT模式,如下图示:

3.3 打开Kali linux中的Burp Suite Community并配置Burp Suite的Chromium browser英[ˈkrəʊmiəm]n.铬

默认情况下在kali linux中是无法打开Chromium browser,会出现如下提示:

3.4 WackoPicko.com已经打开

WackoPicko.com已经打开,BurpSuite Community也已经打开,如下图示:

最低0.47元/天 解锁文章
21计算机网络2班曹婷婷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
在学习过程中,建议逐步熟悉每个功能模块,如"Intruder"用于自动化攻击,"Scanner"用于自动发现漏洞,"Repeater"用于手动重放请求,"Sequencer"用于分析请求的非预测性,以及"Target"和"Proxy History"用于管理和...
reCAPTCHA:reCAPTCHA =识别CAPTCHA:一种Burp Suite扩展程序,可识别CAPTCHA并用于入侵者有效载荷自动识别图形验证码和使用burp intruder爆破模块的插件
02-20
验证码 一个burp插件,自动识别图形验证码,并入侵者中的有效载荷。 使用 安装: 从下载插件。 如果没有遇到错误,您将...在Intruder使用: 有2种情况:用户名或密码之一+验证码;用户名+密码+验证码;完成了配置并
Burp Suite Intruder的4种攻击类型
weixin_30270889的博客
10-24 277
位置:Intruder>1(通常为数字)>Positions,Attack Type下拉有四种,分别为 一、Sniper(狙击手模式) 狙击手模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下组合(除原始数据外): attack NO.locat...
[Burp Suite完整教程] Intruder Attack type&Payloads – 拥有上千种姿态的攻击模式
软测小生
04-07 7442
今天要介绍Intruder中的Attack type跟Payloads,Intruder可以进行的攻击与测试组合方式真的不少,有时候不是Intruder办不到,而是你不知道原来Intruder可以办得到。 首先是Positions下的Attack type,总共有四种的攻击模式,分别为 sniper(狙击枪)、Battering ram(攻城槌)、Pitchfork(干草叉)、cluster bomb(集束炸弹)。 为了方便说明,我将登录部分的账号与密码皆设为变量,初始值账号我用admin,密码passw
Burp suiteIntruderAttack Type模式详解
weixin_44431280的博客
03-10 1535
Burp suiteIntruderAttack Type模式详解 提要:Burp suite集成工具中的Intruder模块在日常的使用的安全测试中会经常频繁使用Intruder中的攻击类型(Attack Type)也是会经常使用到的,了解其四种类型的区别和使用常见是很重要的。 攻击模块总览: 一:Sniper(狙击手):只能选择一个字典 当只有一个参数时:参数会依次匹配字典中的参数值 1,抓取数据包,设置单个参数: 2,字典选择&参数匹配: 当设置两个参数时: 两个参数被依次匹配了字典
X-Forwarded-for爆破伪造ip intruder attack无反应
最新发布
Master_wudi的博客
05-19 234
X-Forwarded-For
Burpsuite-intruder-attack type详解实例
qq_37292005的博客
10-01 432
Burpsuite intruderattack type用法 Sniper(狙击手模式) 使用同一组数据对每一个位置都测试一遍,不同位置相互独立。 Battering ram(散弹枪模式) 相同的输入放到多个位置的情况,所有位置填充一样的值 Pitchfork(音叉模式) 每个位置都有一个字典,大家一起取下一行。允许为每个位置单独设置一组数据。请求的数量由字典行最少哪位决定。 Cluster bomb(集束炸弹) 类似于数学中的笛卡尔积,每个位置都有一个字典,通常字典数量不超过3个,不然破解过程
burpsuite使用手册.pdf
11-10
如果不工作,可以运行在命令提示符或终端输入命令:Java – jar burpsuite_v1.4.jarBurp。 在配置 Burp Suite 时,需要选择代理端口,配置浏览器的代理设置,并指定代理端口为 8080(或任何您正在运行的端口)。...
turbo-intruder:Turbo IntruderBurp Suite扩展,用于发送大量HTTP请求并分析结果
05-12
Turbo IntruderBurp Suite扩展,用于发送大量HTTP请求并分析结果。 它旨在通过处理需要非凡的速度,持续时间或复杂性的攻击来补充Burp Intruder。 以下功能使其与众不同: 快速-Turbo Intruder使用HTTP堆栈从头...
burp suite手册中文001
06-24
它集成了多种模块,包括 Burp Proxy、Scanner、Suite Spider、Intruder、Repeater 和 Sequencer 等,为渗透测试提供了全面的解决方案。在这个手册中,我们将重点介绍 Burp Proxy 的使用,它是 Burp Suite 的核心组件...
Burpsuite | intruder | attack types
JacobTsang的博客
08-24 177
1)Sniper 狙击手 Sniper模式它一次只使用一个payload位置。 2)Battering ram 攻城车 Battering ram模式每次请求,相同的payload放在所有位置。 3)Pitchfork 草叉子 Pitchfork模式在第一个请求中使用第一个payload,在第二个请求中使用第二个payload。 4)Cluster bomb 集群炸弹 Clust...
BurpSuite Intruder 4种攻击模式
weixin_30389003的博客
01-16 175
BurpSuite intruder attack-type 4种爆破模式 Sniper 单参数爆破,多参数时同一个字典按顺序替换各参数,总之初始值有一个参数不变 Battering ram 多参数同时爆破,但用的是同一个字典 Pichfork 多参数同时爆破,但用的是不同的字典 Cluster bamb 多参数做笛卡尔乘积模式爆破 初始值: admi...
BurpSuiteIntruder模块学习篇
three_year的博客
05-28 711
BurpSuite介绍 BurpSuite介绍 Intruder模块模块重要用于完成对Web应用程序自动化攻击,也就是我们经常说的爆破 下面我们以爆破DVWA靶机的暴力破解页面来介绍该模块的一个个版块 进行演示之前我们先进去把登录密码给换了 开启代理 启动代理抓包,把抓到的登录数据包右键发送到Intruder 这样我们就可以在我们的Intruder模块看到我们发送的数据包了 Target版块 该板块会自动识别我们的URL的IP和端口 Positions版块 这个版块就是显示我们从代理拦截到的数
Burp Suite工具使用之三-Repeater and Comparer模块介绍
xysoul的专栏
03-27 2660
Hi everyone, I was very happy to see that a lot of people liked the Burp Suite Tutorial (Intruder Tool) blog post last week. I plan to publish more tutorials for the Burp Suite and this week I will
BurpSuite系列(五)----Intruder模块(暴力破解)
热门推荐
fendo
01-29 4万+
一、简介 Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证
burp-intrude-Attack-type的使用介绍
煜铭2011
10-06 1万+
0x01 Attack type简介       Burpintruder是一个强大的工具,用于自动对Web应用程序自定义的攻击。它可以用来自动执行所有类型的任务您的测试过程中可能出现的。它支持各种攻击类型 - 这些决定在何种负载分配给有效载荷仓的方式。攻击类型可以使用请求模板编辑器上方的下拉菜单进行选择。此外它能够定义多个位置,多种攻击载荷来进行灵活的攻击。 0x02 Attack
关于Burp Suite Intruder 的四种攻击方式
weixin_30549657的博客
04-03 570
以下面这一段参数为例,被§§包围的部分为需要破解的部分: user=§ss§&password=§zxcv§&imageField.x=17&imageField.y=1 (1) (2) ---------------------------------------------------------- payload1 = [admi...
Burp Suite使用详解
myths_0的专栏
02-15 2万+
http://www.nxadmin.com/tools/689.html 本文由阿德马翻译自国外网站,请尊重劳动成果,转载注明出处 Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的
BurpSuite Intruder模块深度解析及使用教程
总结来说,BurpSuite是一款集成化工具,通过各种模块的协作,可以帮助安全专家有效地进行Web应用的安全评估,发现并利用潜在的弱点。对于渗透测试人员而言,掌握BurpSuite使用是提升工作效率和测试深度的关键。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值