Burpsuite中Intruder模块的作用是什么,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

一、简介

Intruder模块用于完成对Web应用程序自动化攻击,一般流程:设置代理并开启拦截请求,将拦截到的数据包发送到Intruder模块,添加需要攻击的参数,设置参数字典,开始攻击。

二、Target功能

打开代理,拦截到请求包,在Raw处右击或者点击Action,发送到Intruder模块,目标服务器的域名或ip地址会自动被填写到这里,并能识别出是HTTP还是HTTPS协议。

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

三、Positions功能和payloads功能,以爆破账户密码为例

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

1、将拦截包发送到Intruder模块后,会自动识别出数据包中的参数,点击右边Clear,清除一下

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

2、假如知道账号,不知道密码,选中密码,点击右边的Add,添加到要爆破的参数,攻击方式是Sniper

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

3、设置要爆破的字典,选择Payloads,payload类型为文件类型,点击开始攻击

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

4、根据扫描结果返回的数据包长度发现,就一个数值不一样,说明这个就是要密码,再看一下下面的相应信息,有登录成功后的消息。

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

5、假如不知道账户,也不知道密码,继续添加账户也是爆破参数,攻击方式Pitchfork

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

6、设置payload,这是就需要设置两个字典,将用户名字典添加到第一个参数,将密码字典添加到第二个参数,开始攻击

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

7、扫描结果如下

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

8、四种攻击方式总结

Sniper 狙击枪模式,只针对一个位置进行探测,可以添加多个参数测试,但是每次只替换一个参数

Battering ram 攻城锤模式,针对多个位置使用一个Payload。比如用户名和密码是一样的情况下,只用一个字典。

Pitchfork 单叉模式,针对多个位置使用不同的多个Payload。,用户字典和密码字典必须一一对应

Cluster Bomb 激素炮模式,针对多个位置,全部组合。全部进行配对验证

9、Payload Processing 对生成的payload进行加密或其他修改,比如将字典都转为大写

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

四、Options功能

1、Request Headers请求表头,默认都勾选,修改数据包后自动更新数据包长度

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

2、Request Engine请求引擎,设置线程数、重连次数、重试前暂停时间

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

3、Attack Results设置攻击结果

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

4、Grep – Match在响应中找出存在指定的内容的一项

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

5、Grep – Extract 通过正则表达式获取响应的指定内容

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

Burpsuite中Intruder模块的作用是什么-冯金伟博客园

6、Redirections 重定向设置,遇到重定向网页可以选择处理方式,直接转到重定向地址或者不转。

Burpsuite中Intruder模块的作用是什么-冯金伟博客园