一、安装Turbo Intruder插件
1. 安装方式1
在BurpSuite的扩展里的BApp商店可直接安装
- 打开BurpSuite,点击扩展
- 点击BApp商店
- 搜索turbo Intruder
- 选择Turbo Intruder插件
- 点击安装
2. 安装方式2
使用第一种方式可能会遇到bp版本太老无法安装等问题,可以尝试使用官网直接下载后导入的方式安装
- 打开官网https://github.com/portswigger/turbo-intruder
- 点击Releases
- 点击下载.JAR文件
- 打开BurpSuite,点击扩展
- 点击已安装
- 点击添加
- 在扩展详情模块选择刚刚下载的.JAR文件
- 完成
安装完成以后,Burp扩展中就会出现安装好的Turbo Intruder
二、并发短信验证码轰炸示例
- 在发送验证码页面,输入手机号并使用BurpSuite抓包
- 找到发送验证码的包,右击选择turbo intruder插件
备注:有的页面在发送验证码之前会有滑块验证,记得要针对发验证码的包进行并发
- 在包种添加一行:
X: %s
- 选择race.py,可以根据需要修改并发的条数,如下图注意两个地方的数值需要保持一致
- 点击攻击
- 并发成功