kali笔记（十） burpsuite---intruder与密码爆破

intruder模块

用于自动对Web应用程序自定义的攻击。它可以用来自动执行您的测试过程中可能出现的所有类型的任务。例如目录爆破，注入，密码爆破等。

Target设置

Host：这是目标服务器的IP地址或主机名。
Port：这是目标服务的端口号。
Use HTTPS：这指定的SSL是否应该被使用。

Positions设置

attack type：攻击模式设置
sniper：对变量依次进行破解。多个标记依次进行。单参数爆破，多参数时同一个字典按顺序替换各参数，总之初始值有一个参数不变。
battering ram：对变量同时进行破解。多个标记同时进行。多参数同时爆破，但用的是同一个字典。
pitchfork：每一个变量标记对应一个字典，取每个字典的对应项。 多参数同时爆破，但用的是不同的字典。
cluster bomb：每个变量对应一个字典，并且进行交集破解，尝试各种组合。适用于用户名+密码的破解。多参数做笛卡尔乘积模式爆破。

add：插入一个新的标记
clear：清除所有的标记
auto：自动设置标记，一个请求发到该模块后burpsuite会自动标记cookie URL等参数
refresh：如果必要的话，这可以要求模板编辑器的语法高亮。

在左下脚可以看到有几个标记

Payload设置(配置字典)

Payload Set：指定需要配置的变量
Payload type：Payload类型。
Simple list:简单字典
Runtime file:运行文件
Custom iterator:自定义迭代器
Character substitution:字符替换
Recursive grep:递归查找
lllegal unicode:非法字符
Character blocks:字符块
Numbers:数字组合
Dates:日期组合
Brute forcer:暴力破解
Null payloads:空payload
Username generator：用户名生成
copy other payload：复制其他payload

load : 导入字典文件

然后点击start attack即可进行密码爆破