利用burpsuite的intruder 模块进行弱密码的破解
- posirtions模块
positions 选择攻击模式
sniper 对变量依次进行暴力破解
battering ram 对变量同时进行破解
pitchfork 没一个变量标记对应一个字典,一一对应进行破解
cluster bomb 每个变量对应一个字典,并且进行交叉试破解,尝试各种组合,
适用于用户名加密码的破解
- payloads模块
- options模块
Request Engine 设置请求的线程数,超时重试时间。
Grep Match— 这个设置主要用来从响应包中提取某些结果,如果匹配成功,
则在攻击结果中添加的新列中标明,便于排序和数据提取。比如说,在测试 SQL
注入漏洞,扫描包含“ODBC”,“错误”等消息,来识别可能存在注入漏洞的
参数。
密码爆破