kali笔记(十) burpsuite---intruder与密码爆破

intruder模块

用于自动对Web应用程序自定义的攻击。它可以用来自动执行您的测试过程中可能出现的所有类型的任务。例如目录爆破,注入,密码爆破等。

Target设置

Host:这是目标服务器的IP地址或主机名。
Port:这是目标服务的端口号。
Use HTTPS:这指定的SSL是否应该被使用。
kali笔记(十) burpsuite---intruder与密码爆破_第1张图片

Positions设置

attack type:攻击模式设置
sniper:对变量依次进行破解。多个标记依次进行。单参数爆破,多参数时同一个字典按顺序替换各参数,总之初始值有一个参数不变。
battering ram:对变量同时进行破解。多个标记同时进行。多参数同时爆破,但用的是同一个字典。
pitchfork:每一个变量标记对应一个字典,取每个字典的对应项。 多参数同时爆破,但用的是不同的字典。
cluster bomb:每个变量对应一个字典,并且进行交集破解,尝试各种组合。适用于用户名+密码的破解。多参数做笛卡尔乘积模式爆破。

kali笔记(十) burpsuite---intruder与密码爆破_第2张图片

add:插入一个新的标记
clear:清除所有的标记
auto:自动设置标记,一个请求发到该模块后burpsuite会自动标记cookie URL等参数
refresh:如果必要的话,这可以要求模板编辑器的语法高亮。

在左下脚可以看到有几个标记

Payload设置(配置字典)

Payload Set:指定需要配置的变量
Payload type:Payload类型。
Simple list:简单字典
Runtime file:运行文件
Custom iterator:自定义迭代器
Character substitution:字符替换
Recursive grep:递归查找
lllegal unicode:非法字符
Character blocks:字符块
Numbers:数字组合
Dates:日期组合
Brute forcer:暴力破解
Null payloads:空payload
Username generator:用户名生成
copy other payload:复制其他payload
kali笔记(十) burpsuite---intruder与密码爆破_第3张图片
load : 导入字典文件

然后点击start attack即可进行密码爆破

你可能感兴趣的:(kali)