Burp suite—Intruder中Attack Type模式详解

本文阅读 4 分钟

Burp suite—Intruder中Attack Type模式详解

提要:Burp suite集成工具中的Intruder模块在日常的使用的安全测试中会经常频繁使用,Intruder中的攻击类型(Attack Type)也是会经常使用到的,了解其四种类型的区别和使用常见是很重要的。

攻击模块总览:

一:Sniper(狙击手):只能选择一个字典

当只有一个参数时:参数会依次匹配字典中的参数值 1,抓取数据包,设置单个参数: img 2,字典选择&参数匹配: img 当设置两个参数时: 两个参数被依次匹配了字典中的参数值,会按照参数位置进行依次匹配,先匹配username,然后匹配password参数。img总结:根据截图发现,当攻击模式选择Sniper时,字典只能选择一个,不管payload变量是一个还是多个,会依次根据位置匹配字典中的值。假设存在两个参数username和password,赋予两个参数一个字典,字典内容为123,产生的结果就是(1,原始数据),(2,原始数据),(3,原始数据),(原始数据,1),(原始数据,2),(原始数据,3)

二:Battering ram(攻城锤):只能选择一个字典

不管是设置一个参数还是同时设置多个参数,参数都并行匹配字典中的参数值,例如username,password和user_token都会匹配到admin进行处理。 img 总结:不管参数设置了几个,只能选择一个字典,参数都会等于同一个值进行匹配,假设存在两个参数username和password,赋予两个参数一个字典,字典的内容为123,产生的结果就是(111),(222),(333)

三:Pitchfork(干草叉):有几个参数可以选择几个字典

在Pitchfork模式下,假设有两个参数,那每个参数都会被赋予一个字典,两个参数会依次自己字典中的值进行组合,攻击组合的次数会根据字典短的那个参数匹配完停止。 img 总结:假设存在两个参数username和password,赋予两个参数两个字典,字典1内容为123字典二内容为456,那么匹配的报文依次是(1-4),(2-5),(3-6)

四:Cluster bomb( 集束炸弹),几个参数可以设置几个字典

img 总结:假设存在两个参数username和password,赋予两个参数两个字典,字典1内容为123字典二内容为456,那么产生的结果就是(1-4),(1-5),(1-6)…(3-6)

整体思路总结:

1,Sniper和Battering ram模式不管参数有几个,只能选择一个字典进行匹配,Pitchfork和Cluster bomb模式存在几个参数,则可以给每个参数选择一个字典进行匹配值。

相关文章: Web安全工具—Burp suite(持续更新) Burp Suite中intruder爆破模块四种模式的区别

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/weixin_44431280/article/details/123412272
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复