哪兒有那麼多兩情相悅,多少人不過是到了年紀,該成家了,是以一拍即合,和一個順眼的人在一起了,吵架打架帶孩子,一輩子就這麼過了。我要的你,也隻不過是偶爾出現在我的夢裡。。。。
---- 網易雲熱評
提醒:下面有視訊版
一、簡介
Intruder子產品用于完成對Web應用程式自動化攻擊,一般流程:設定代理并開啟攔截請求,将攔截到的資料包發送到Intruder子產品,添加需要攻擊的參數,設定參數字典,開始攻擊。
二、Target功能
打開代理,攔截到請求包,在Raw處右擊或者點選Action,發送到Intruder子產品,目标伺服器的域名或ip位址會自動被填寫到這裡,并能識别出是HTTP還是HTTPS協定。
三、Positions功能和payloads功能,以爆破賬戶密碼為例
1、将攔截包發送到Intruder子產品後,會自動識别出資料包中的參數,點選右邊Clear,清除一下
2、假如知道賬号,不知道密碼,選中密碼,點選右邊的Add,添加到要爆破的參數,攻擊方式是Sniper
3、設定要爆破的字典,選擇Payloads,payload類型為檔案類型,點選開始攻擊
4、根據掃描結果傳回的資料包長度發現,就一個數值不一樣,說明這個就是要密碼,再看一下下面的相應資訊,有登入成功後的消息。
5、假如不知道賬戶,也不知道密碼,繼續添加賬戶也是爆破參數,攻擊方式Pitchfork
6、設定payload,這是就需要設定兩個字典,将使用者名字典添加到第一個參數,将密碼字典添加到第二個參數,開始攻擊
7、掃描結果如下
8、四種攻擊方式總結
Sniper 狙擊槍模式,隻針對一個位置進行探測,可以添加多個參數測試,但是每次隻替換一個參數
Battering ram 攻城錘模式,針對多個位置使用一個Payload。比如使用者名和密碼是一樣的情況下,隻用一個字典。
Pitchfork 單叉模式,針對多個位置使用不同的多個Payload。,使用者字典和密碼字典必須一一對應
Cluster Bomb 激素炮模式,針對多個位置,全部組合。全部進行配對驗證
9、Payload Processing 對生成的payload進行加密或其他修改,比如将字典都轉為大寫
四、Options功能
1、Request Headers請求表頭,預設都勾選,修改資料包後自動更新資料包長度
2、Request Engine請求引擎,設定線程數、重連次數、重試前暫停時間
3、Attack Results設定攻擊結果
4、Grep - Match在響應中找出存在指定的内容的一項
5、Grep - Extract 通過正規表達式擷取響應的指定内容
6、Redirections 重定向設定,碰到重定向網頁如何控制
禁止非法,後果自負
歡迎關注公衆号:web安全工具庫
提醒:下面有視訊版