很多时候burpsuite intruder爆破我们是看返回包的长度,那么如何根据返回包的内容来做筛选呢?
这里我用的本地某cms环境做个演示
Intruder模块怎么用的不用介绍了吧 直接进入正题 选择Grep-Match模块 勾选启用功能,添加我们要匹配的内容,使用简单字符串进行匹配
效果如图
那么如果我们返回包不是英文 而且中文的成功与失败能否做匹配?答案是肯定的
使用py进行编码的转换
这里本地环境已经失败过多 限制登录了 所以我们匹配下 这个系统已禁止您今日登录 复制\xe7\xb3\xbb\xe7\xbb\x9f\xe5\xb7\xb2\xe7\xa6\x81\xe6\xad\xa2\xe6\x82\xa8\xe4\xbb\x8a\xe6\x97\xa5\xe7\x99\xbb\xe5\xbd\x95 如下图勾选 使用正则模式
效果如图
更多内容,欢迎关注微信公众号:信Yang安全,期待与您相遇。
联系邮箱:yang_s1r@163.com
博客园地址:https://www.cnblogs.com/Yang34/