news 2026/7/7 13:22:46

Burp Intruder模块实现暴力破解

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Burp Intruder模块实现暴力破解
1.作用与原理

原理:对请求参数进行修改,分析响应内容,获得特征数据

本质:1.自动化发起HTTP请求;2.基于现成字典或者生成字典

用途:

1.猜测用户名,密码等;

2.寻找参数、目录等

3.枚举商品ID,验证码等

4.模糊测试(FUZZ)

可替代工具:wfuzz(全部功能),dirb(目录扫描),hydra(爆破)

2.案例:实现暴力破解

靶场:DVWA(需要配置PHP,Apache服务器这些,可以自己去搜索,有很多教程)

1.使用BP自带的浏览器(open broswer)

靶场界面:(要先在php上开启服务,否则会报错)

把安全级别改为low

首先,假设知道用户名的情况,这里用户名为admin

开启代理,点击login ,就可以抓到包

右键send to intruder

这里要攻击的是密码字段的值,选中密码的值添加,攻击模式选择sniper(精准打击).intruder模块中有四种攻击模式:sniper,battering ram,pitchfork,cluster bomb(后面会依次介绍)

接下来设置payload

payload type

官网链接:https://portswigger.net/burp/documentation/desktop/tools/intruder/payloads/types

类别

名称

描述

simple list

简单字典

添加,粘贴或者从文件读取字典,或者使用预定义的字典

runtime list

运行时文件

运行时,intruder将读取文件的每一行作为一个payload

custom iterator

自定义迭代器

占位填充的一种方式,最多8位

character substitution

字符替换

把字典里面相应的字符进行替换

case modification

大小写修改

要不要保持原样的,要不要全部大写的,要不要全部小写的,要不要全小写的,要不要驼峰命名(先大写后小写)的

recrusvive grep

递归查找

用来提取相应数据的如拿到phpsessionid,拿到token等,可以通过格式匹配抓取到对应字段值。

illegal unicode

非法 Unicode编码

用于绕过正则表达式的过滤验证

character blocks

字符快

比如生成100A,200+号,300个数字1等

numbers

数字组合

dates

日期组合

brute forcer

暴力破解

暴力枚举,最后一位先固定,然后一个个改

null payloads

空payload

不需要设置payload

character frobber

字符frobber

依次修改指定字符串在每个字符位置的值,每次都是在原子符上递增一个该字符的ASCII码

bit flipper

bit翻转

对预设的payload原始值,按照比特位,依次进行修改

username generator

用户名生成器

用于用户名和email账号的自动生成

ECB block shuffler

ECB加密块洗牌

基于ECB加密模式的payload生成器

extension-generated

bp payload生成插件

基于bp插件来生成payload值,需要安装插件

copy other payload

payload复制

将其他位置的参数复制到payload位置上(如密码要输入两遍)

payload的编码也可以设置

其他暂时不做设置

开启攻击:

这里返回用户名或密码错误

这里返回,说明登录成功

如何找出有可能匹配出的一个:对length进行排序,找到不一样那个

总结流程:

1.从其他模块发生或者手动填写

2.选择攻击模式attack type

3.选择攻击字段positions

4.设置payload

5.其他设置(线程池等)

6.发起攻击

7.查看结果

有不对的地方请大佬指导!

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 9:06:00

56、Python 代码性能优化全攻略

Python 代码性能优化全攻略 1. 调试与性能分析 在进行性能优化之前,我们需要对代码进行调试和性能分析,以找出性能瓶颈所在。 1.1 校准程序开销 校准过程可能比较耗时,但通常只需执行一次。只有在对机器特性进行更改时,如给操作系统打补丁、添加内存或更改 Python 版本…

作者头像 李华
网站建设 2026/7/6 14:11:41

Inspector Spacetime:动效设计师必备的After Effects数据导出神器

你是否曾在动效设计中遇到过这样的困扰?精心设计的动画效果在开发阶段总是难以完美复现,设计师和工程师之间因为动效参数沟通不畅而反复修改。Inspector Spacetime正是为解决这一痛点而生的专业工具,它能够一键提取After Effects中的关键帧数…

作者头像 李华
网站建设 2026/7/7 4:07:01

企业IT运维实战:BluescreenView批量分析技巧

快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 创建一个企业级蓝屏日志分析系统,功能包括:1.自动收集网络内各终端的minidump文件 2.使用BluescreenView进行批量分析 3.生成部门/设备类型的故障统计报表 4…

作者头像 李华
网站建设 2026/7/6 16:54:20

69、利用 Python 的 C API 扩展 Python

利用 Python 的 C API 扩展 Python 在 Python 编程中,有时需要使用 C 语言来扩展 Python 的功能,以提高性能或实现特定的操作。下面将详细介绍如何利用 Python 的 C API 来实现这一目标,包括参数解析、创建 Python 值、异常处理以及抽象和具体层函数的使用。 1. 解析参数 …

作者头像 李华