【Burp suite】intruder内的四种攻击模式(attack type)分析!
在进行暴力破解的时候有一步是Positions标签,顾名思义,确定位置,这时候经过对post内容进行分析,很容易判断出密码的位置!
比如说: __EVENTVALIDATION=%2FwEWAgKE3%2FroDAKM54rGBizM3OcjQyD9M8xo9Mrj%2BKNO0Havfxj6NlgBeAgIdaBY&UserName=201840442048&UserPwd=123456&user=0&Button1=%E7%99%BB+%E5%BD%95 ,很明显,UserPwd是之前填写密码的位置,所以,在123456两侧添加$(Add &)。
现在步入正题,当确定好位置的时候,面临的一个问题是选择攻击模式,当然了一般情况下对单一密码进行暴力破解用默认sniper模式就可以了。
一、Sniper(狙击手模式)
针对单一密码,假设确定了两个位置A和B,然后密码包payload里有两个密码1、2,那么攻击模式如下:
| Attack No. | Position A | Position B |
| 0 | 1 | null |
| 1 | 2 | null |
| 2 | null | 1 |
| 3 | null | 2 |
一次只会对一个位置进行攻击!
二、Battering ram(攻城锤模式)
于sniper模式不同的地方在于,同样情况下,攻击次数减半,每次两个位置用同样的密码,如表:
| Attack No. | Position A | Position B |
| 0 | 1 | 1 |
| 1 | 2 | 2 |
三、Pitchfork(叉子模式)
跟前两种不同的地方在于,可以多组密码本payload,又于battering ram相同的地方在于,一一对应,现在添加包含3、4的密码本payload,暴力破解过程如表:
| Attack No. | Position A | Position B |
| 0 | 1 | 3 |
| 1 | 2 | 4 |
四、Cluster bomb(炸弹模式)
跟叉子模式相似的是多个密码本对应多个位置,不同的是不再是一一对应,而是交叉组合,每一个密码本里的密码都对应于另一密码本所有密码,如表:
| Attack No. | Position A | Position B |
| 0 | 1 | 3 |
| 1 | 2 | 3 |
| 2 | 1 | 4 |
| 3 | 2 | 4 |
综上,经过实践,暂时是一四模式使用较多。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY