上周吧,将公司的短信及邮箱服务测试了一遍,就学习了Burpsuite的Intruder。(自学成才,还好网上有资料,入手还是挺简单的)

      网上资料:https://www.gitbook.com/book/t0data/burpsuite/details

      我用的是免安装的破解版,版本是burpsuite_pro_v1.7.13.jar;使用Burpsuite的前提就是大家的JDK有安装,且环境变量配置的对的。各位自己看资料吧。

      下面是我记录的一个测试邮件的案例:

     我电脑是win10系统

1. 打开我们的Burp。

2. 我使用的是IE(或者是win10自带的Edge),所以打开IE,设置代理。

3. 基本代理都这样,HTTPS的都要装个证书:比如Fiddler、Charles等。

    URL输入:http://burp 选择证书安装即可。

  (如果输入地址提示“代理服务器有问题”,啊哈,请检查你的代理,将“请勿将代理服务器用于本地地址”的√去掉,这个是不能勾的。)

4. 调节Burp,准备好设置,我这里就是Proxy-Options的设置,比如下图

    等。

 

5. Proxy-Intercept拦截

   如果你只是测试一个接口,不需要到程序的某个点的,就直接测试。但是,如果你需要使用cookie等内容,需要走功能流程,那么在走流程的时候,需将拦截关掉,如下图

当到了你要测试的点的时候,再将它修改为“Intercept is on”。

然后,执行你要测试的操作,此时就会拦截到发送的请求。我这里就是发送邮件的请求,抓到请求后,点击Action-Send to Intruder(也可以使用快捷键)。此时,你会发现Intruder这个tab会变成红色。

(如果你忘了开启即调整为“Intercept is on”,也是没有关系的,可以在proxy-HTTP history里面找到你要测试的请求,右键选择Send to Intruder,也可以的。

 

6.Intruder 设置

  1)positions设置:先clear掉默认的payload;然后将你需要测试的参数增加payload(即§§括起来的,可以多个,也可以单个。)

       单个payload:Attack type可使用Sniper

       多个payload:Attack type可使用其他三个

       我测试邮箱,本来就一个参数就好了,单个也可以用。但是我还是用了多个,主要是测试多种邮箱,比如多“.”的,因为老外用哈,多“.”是常用目标,然后又顺便测试一下邮箱的正则,所以用了这个。

    

   2)payloads设置:

        单个payload:payload设置单个payload set。

        多个payload:需要设置多个payload set。

        这里有个很重要的点即payload type的选择,这里面对payload的字典类型的有很多。可以看资料,我目前主要用的是。

       Simple list:

       Numbers:

       Null payload:就固定的请求的值,不是用payload字典。设置一下总的payloads即可(即要发起的payload counts)

      Extension -generated:测试XSS注入时用的。

 

7. Options设置

    其实这个设不设置对我测试邮件目前是没有影响的。我设置了number of threads等值,对比了效果,可能本机性能问题,没看出来有多大区别,后面又深层次学习再补充了。

 

8. 然后,点击【Start attack】就开始攻击测试了。

  会弹出一个【Intruder attack】窗口。

 1)菜单栏:分成3块,Attack可设置中止或者重来一次(新启一个attack窗口);Save主要是保存结果;Columns主要是设置你要看的列表结果数据。

 2)设置项:同Intruder 设置的东东。

 3)执行列表:字段就是菜单栏的Columns设置的。

 4)执行结果:点击执行列表,下面就展示具体请求及响应的数据。一方面我们关注请求的参数是否是我们需要的,设置的对不对;一方面,看响应的结果,是否是我们测试的结果。

 5)最下面有个进度条:就是根据我们的payloads来显示进度的。

 

9. 看一下我的测试点,仅供参考。(就不记录具体用例了,毕竟新手,还是保留保留,万一错了呢。。。)

 

 

        

  

      

 

 

 

       

posted on 2017-09-22 12:02  testhua  阅读(671)  评论(0编辑  收藏  举报