BurpSuite使用详解(五)Intruder功能

Intruder 入侵功能

Intrudet模块是根据scanner模块中可检测到可能存在漏洞的连接,调用攻击载荷,对目标链接进行攻击。主要原理是根据访问链接中存在的参数/变量,调回本地词典,攻击载荷,对目标链接进行渗透测试。BurpSuite的入侵功能有限,一般用于表单信息爆破。

前期准备

首先需要对完成scanner功能,或者proxy代理功能,将目标域名导入Intruder模块。

Target

目标功能,默认是目标域名IP

Pay Positions

攻击位置,Intruder功能是对请求的敏感字段进行替换攻击,这里可以修改攻击位置。
Attack type,有四种:
Sniper就是使用单个字典,对用户名,密码两者之一进行单点爆破,另一个使用原数据,不会同时修改。
Battering ram 使用单个字典,对用户和密码都同时修改爆破。账号和密码是修改为一样的,所以请求次数是上面的一半
Pitchfork 使用两个个字典,每个爆破变量使用不同字典,但是只会
Cluster bomb 使用多个字典,对用户和密码都同时修改,尝试每一种组合,请求数量最多
在这里插入图片描述

Payloads

主要是有关攻击载荷的设置
Payload Sets 主要设置载荷类型
Payload options 载荷类型会决定下面载荷选项的内容
paypayload processing 载荷处理,例如MD5加密,字符截取,加入前后缀
设置完成后就可以开始攻击,攻击完之后可以保存报告
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Options

入侵选项
request engine 设置请求引擎,设置线程,超时,重试信息
attack results 设置攻击的保存结果
grep-match 识别response是否在此表达式或字符串
grep-extract 通过正则截取response信息
在这里插入图片描述
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值