Burp Suite学习之Intruder的4种攻击模式

 burp suit的intruder攻击共有四种模式,如图所示,下面分别讲讲这四种模式的使用方法和场景。

 

一 、Sniper模式

  Sniper模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下组合(除原始数据外):

攻击序列 位置A 位置B
1 1 no replace
2 2 no replace
3 no replace 1
4 no replace 2

  这种模式主要适用于:竞争条件测试(选择Null payloads),密码、验证码暴力破解,重放攻击等场景

二、Battering ram模式

  Battering ram模式与狙击手模式类似的地方是,同样只使用一个payload集合,不同的地方在于每次攻击都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置。

攻击序列 位置1 位置2
1 payload1 payload1
2 payload2 payload2

  这种模式主要适用于:撞

三、Pitchfork模式

  草叉模式允许使用多组payload组合,在每个标记位置上遍历所有payload组合,假设有两个位置“A”和“B”,payload组合1的值为“1”和“2”,payload组合2的值为“3”和“4”,则攻击模式如下:

攻击序列 位置A 位置B
1 payload1 payload3
2 payload2 payload4

  这种模式主要适用于:恶意注册

四、Cluster bomb模式

  集束炸弹模式跟草叉模式不同的地方在于,集束炸弹模式会对payload组进行笛卡尔积,还是上面的例子,如果用集束炸弹模式进行攻击,则除baseline请求外,会有四次请求:

 

攻击序列 位置A 位置B
1 payload1 payload3
2 payload1 payload4
3 payload2 payload3
4 payload2 payload4

posted @ 2020-02-16 15:08  方方和圆圆  阅读(1949)  评论(0编辑  收藏  举报

再过一百年, 我会在哪里?