关于Burp Suite Intruder 的四种攻击方式


以下面这一段参数为例,被§§包围的部分为需要破解的部分:

user=§ss§&password=§zxcv§&imageField.x=17&imageField.y=1
     (1)            (2)
---------------------------------------------------------- 
 payload1 = [admin,administrator,sys,system,root]
 payload2 = [pass,passwd,pwd]

1. Sniper (狙击)

按顺序将(1)(2)其中之一中使用所给的payload进行替换,另一个参数不变.

若在这里使用payload2的话,破解尝试顺序为:

user    | password
-------------------
ss      | pass
ss      | passwd
ss      | pwd
pass    | zxcv
passwd  | zxcv
pwd     | zxcv

2. Battering ram (撞击)

使用payload同时替换所有被选中的位置.

在这里使用payload2的话,破解尝试顺序为:

user    | password
-------------------
pass    | pass
passwd  | passwd
pwd     | pwd

3. Pitchfork (交叉)

按顺序分别使用payload1替换(1),payload2替换(2).payload数量较少的列表用完则停止.

破解方式如下:

for i in range( min(len(payload1),len(payload2)) ):
    user = payload1[i]
    password = payload2[i]

4. Cluster Bomb (集束炸弹)

通常意义上的穷举法.

for i in payload1:
    for j in payload2:
        user = payload1
        password = payload2
posted @ 2017-04-03 12:45  暮晨  阅读(2702)  评论(0编辑  收藏  举报

Aaron Swartz was and will always be a hero