本文仅当作练习记录使用。
开始答题:
提示日志地址为:access.log
攻击IP为:172.16.12.12
直接复制日志利用Notepad++打开进行查找
172.16.12.12 以及 状态码为200的信息发现一直在adminlogin.php页面请求。
172.16.12.12 *.* 200
访问adminlogin.php发现为登录页面,进行爆破登录
burp爆破模块中的4中模式的区别
Sniper(狙击手)
对两个变量只可以设置一个字典,按顺序一个一个参数依次遍历,一个参数遍历完,然后恢复成原数据,再遍历下一个参数。
Battering ram(攻城锤)
对两个变量只可以设置一个字典,每个参数同时遍历同一个字典。(对称爆破 admin/admin)
Pitchfork(草叉模式)
有多少参数就有多少字典,两个变量可以选两个字典,两个字典列数不一样时,就以短的字典长度为准,多个参数同时进行遍历,只是一个选字典1,一个选字典2(相当于50m赛跑同时出发,只是赛道不同)
Cluster bomb(集束炸弹)(推荐爆破时使用)
有多少参数就有多少字典,对两个变量可以设置两个字典,有点像两个嵌套的for循环,参数i和参数j,i=0,然后j要从0-10全部跑完,然后i=1,然后j再从0-10跑完,一对多,多次遍历(交叉爆破直到全部匹配完毕)
利用爆破的密码进行登录即可