Burp Suite是一款用于攻jiWeb应用程序的集成平台,其中包含了许多工具,其中之一就是Intruder。Intruder是Burp Suite中的一个模块,用于进行暴力破jie攻ji。下面是使用Burp Suite Intruder进行暴力破jie的步骤:
打开Burp Suite并选择要攻ji的目标网站。
在Burp Suite中选择Intruder选项卡,然后选择要攻ji的请求并将其发送到Intruder。
在Intruder选项卡中,选择Payloads选项卡,并在Payload设置中选择要使用的Payload类型,例如:字典、数字、日期等。
在Payload选项卡中,设置Payload的值,例如:字典文件的路径、数字的范围等。
在Options选项卡中,设置要使用的其他选项,例如:要攻ji的参数、要使用的代理服务器等。
单击Start Attack按钮开始攻ji。
需要注意的是,使用Burp Suite进行暴力破jie攻ji可能会违反法律法规,请在合法授权的情况下使用。
核心功能
一、准备工具
1.JDK
(可从官网根据系统要求选择相应版本下载JDK下载)
2.BrupSuite(可从官网直接下载,包括企业版、专业版、社区版BrupSuite下载)
二、BurpSuite定义及功能模块
BurpSuite是用于gong击web 应用程序的集成平台,是一个集成化的渗tou测试工具,它集合了多种渗tou测试组件,使我们自动化地或手工地能更好的完成对web应用的渗tou测试和攻ji。
功能模块包括:
Pro米xy:主要提供抓包及拦截功能,默认代理为127.0.0.1:8080;
Intruder:此模块常用于漏洞利用、暴力破jie等;
Repeater:手动操作补发单独的HTTP 请求并分析应用程序响应;
Sequencer:分析不可预知的应用程序会话令牌及重要数据项的随机性
Decoder:手动执行或对应用程序数据者智能解码编码;
Comparer:通过一些相关请求和响应得到两项数据的“差异”
Extender:扩展模块;
此篇仅介绍Intruder模块!
前期准备:
设置代理并获取目标域名
访问目标网站
设置目标域
关闭代理
这里在着重强调一下设置目标域,因为本人经常忘记。如下:
Burp Suite是一款常用的渗tou测试工具,可以用于拦截、修改和重放HTTP/HTTPS请求。设置目标域是Burp Suite中的一个重要功能,可以帮助用户更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻ji面等信息。具体操作步骤如下:
打开Burp Suite,点击左侧的“Target”选项卡,进入“Site map”页面。
在“Site map”页面中,点击“Add”按钮,输入目标域名或IP地址,点击“OK”按钮。
Burp Suite会自动对目标进行扫描,并在“Site map”页面中显示目标的站点地图。
用户可以通过站点地图了解目标应用的整体状况,包括目标站点的URL、目标站点的子域名、目标站点的目录结构等信息。
用户还可以通过“Scope”选项卡设置目标域的范围,包括添加或删除目标域、添加或删除目标域的子域名等。
在“Target”选项卡中,用户还可以使用“Target”工具对目标进行更深入的分析和测试,包括使用“Spider”工具对目标站点进行爬虫扫描、使用“Scanner”工具对目标站点进行漏洞扫描等。
# 代码示例 1. 打开Burp Suite,点击左侧的“Target”选项卡,进入“Site map”页面。 2. 在“Site map”页面中,点击“Add”按钮,输入目标域名或IP地址,点击“OK”按钮。 3. Burp Suite会自动对目标进行扫描,并在“Site map”页面中显示目标的站点地图。 4. 用户可以通过站点地图了解目标应用的整体状况,包括目标站点的URL、目标站点的子域名、目标站点的目录结构等信息。 5. 用户还可以通过“Scope”选项卡设置目标域的范围,包括添加或删除目标域、添加或删除目标域的子域名等。 6. 在“Target”选项卡中,用户还可以使用“Target”工具对目标进行更深入的分析和测试,包括使用“Spider”工具对目标站点进行爬虫扫描、使用“Scanner”工具对目标站点进行漏洞扫描等。
入侵选项
找到表单登录页面然后发送到intruder。
即便是服务器线程数也就支持最大999,一般情况下不要超过100,太大了对目标服务压力过大会导致down掉。
Payloads(载荷)
这个1是前面选择字典,有1.2。前两个为1,后两个为2.
Attack(攻ji)
说明:根据返回的状态码、长度值、错误信息等判断入侵结果
保存攻ji列表
修改显示列
渗tou案例
