.一、模式概念
Burp Suite是一款常用的网络安全测试工具,其中包含了口令爆破功能。口令爆破是指通过尝试不同的用户名和密码组合,来猜测正确的登录凭证。Burp Suite口令爆破功能提供了四种模式,分别是:
Sniper模式:Sniper模式是最简单的模式,它会按照事先设定的用户名和密码列表进行尝试。这种模式适用于已知用户名和密码的情况。
Battering Ram模式:Battering Ram模式会同时使用多个用户名和密码进行尝试,以提高破jie的效率。这种模式适用于未知用户名但已知密码的情况。
Pitchfork模式:Pitchfork模式是一种组合模式,它会同时使用多个用户名和多个密码进行尝试。这种模式适用于未知用户名和密码的情况。
Cluster Bomb模式:Cluster Bomb模式是一种穷举模式,它会对每个用户名尝试所有的密码组合。这种模式适用于未知用户名和密码的情况,但需要耗费较长的时间。
以上是Burp Suite口令爆破的四种模式。使用这些模式时需要谨慎,确保已经获得了合法授权,并且遵守法律法规。同时,建议在测试过程中使用弱密码字典和合理的爆破策略,以避免对目标系统造成不必要的影响。
二、模式示例
Sniper(狙击手模式)
狙击手模式使用一组 payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它公鸡会形成以下组合(除原始数据外):
二Battering ram(攻城锤模式)
攻城锤模式与狙击手模式类似的地方是,同样只使用一个payload集合,不同的地方在于每次公鸡都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置。
三Pitchfork(草叉模式)
草叉模式允许使用多组payload组合,在每个标记位置上遍历所有payload组合,假设有两个位置“A”和“B”,payload组合1的值为“1”和“2”,payload组合2的值为“3”和“4”,则公鸡模式如下:
四Cluster bomb(集束炸弹模式)
集束炸弹模式跟草叉模式不同的地方在于,集束炸弹模式会对payload组进行 笛卡尔积,还是上面的例子,如果用集束炸弹模式进行公鸡,则除baseline请求外,会有四次请求:
