このモジュールは、チュートリアルで使用した侵入者burpsuiteあなたに説明して
最初に以下を見つけ、1:
私たちの侵入者(侵入者)は、このモジュールのメインページであるように、私たちはそう簡単に「侵略者」リピータモジュールと同じシリアル番号を持つ小さなラベルのようなもの上記のモジュールは、我々は、ここで私たちが紹介することを使用することを強調する必要があります4つの主要な作業ウィンドウ
これは、ターゲット(目標)ロール内の最初のウィンドウは、我々は我々が焦点を紹介行うにはそんなに「体位」「ペイロード」「オプションで、自動的に私たちのコンテンツを認識しburpsuite上でパケットを送信する大きさではないです 」
ここでは、デモンストレーションを行うための例を持っているburpsuite
この場所我々は場所が変数に設定したいかを理解することができ
、我々は以下の介在物の子供を示して
"?POST /例P1 = p1val&P2 = p2val HTTP / 1.0
:C = CVALクッキー
17:コンテンツ長
P3 = p3val&P4 = p4val"
場合を私たちの「P3」のユーザー名「P4」それを行う方法を自分のユーザ名を爆破しながら、私たちは、パスワードにしたいパスワードのですか?
P3は、追加$の右側にマウスクリックでコンテンツを選択しました
这样我们的p3就变成了变量,然后我们将p4也按同样方法设置为变量
这样我们就可以去爆破用户名和密码了,那么我们如果想清楚的话我们可以点击右侧的"Clear$"下面给大家介绍的是我们的上方的Attack type
有四种攻击模式我们一个一个的举例看
首先我们要介绍一下payload模块的最简单功能
手动输入字典之后我们点击左上角的start attack
这时候会弹出一个attack 窗口
这里我们的攻击模式是Sniper可以简单的理解为a变b不变
B变a不变,使用单一的字典
我们的第二个攻击方式是battering ram 我们发现这个时候payload还是一个
但是变量最少是两个
我们来看一下效果
可以看出一共进行了6次攻击,每一次p3和p4的payload都是一样的
所以我们可以理解为a=b两个变量同时变,单一payload
那么我们下面来介绍第三种攻击方式
Pitchfork
我们打开payload设置看一下发现payload set 变成了1和2
也就是说有几个变量就可以设置几个payload
我们这里把payload 2 设置为123456
点击start attack
我们这里发现之进行了一次,那么我们多加几个payload尝试一下
我们发现我们的payload 1 里面的内容就是我们先前设置的
我们可以简单理解为你想让a为什么a就为什么 ,你想让b为什么b就为什么
我们只需要将payload对应设置就好了
我们下面介绍的是
我们打开payload
也是像第三种一样的两个我们开始攻击试一下
一共进行了42次请求 6*7次
我们可以理解为a不变b变,当b跑完了再换a变下一个
到这我们讲完了burpsuite的暴力破解
我们下面要讲一下进阶用法
首先是payload的设置,专业版提供了很多的payload
比如快速的fuzz字典a-z 0-9的字典等等,我们在测试中可以结合不同的字典或者fuzzdb去进行模糊测试,通过模糊测试去寻找薄弱点
然后就是上方的payload type 她提供给我们很多东西
有"时间" "数字" "字符"等等
这样我们的渗透测试会因此更加方便,这也就是工具的目的
最后我们要介绍一下options里面的设置
里面可以有正则等方法
我们这里常用的只有thread 也就是线程