Intruder标签下有四种攻击方式

  • Sniper
  • Battering Ram
  • Pitchfork
  • Cluster Bomb
  • 理解BurpSuit Intruder几种攻击方式-LMLPHP

假设用户名密码词典分别如下:

user1,user2,usre3

pass1,pass2,pass3

第一种Sniper:

需要字典:1个 【payloadset部分只能选择1】

变量数量:不限

加载顺序:将字典依次填入所有变量中,下图设置了两个变量,所以Position会有两个

理解BurpSuit Intruder几种攻击方式-LMLPHP

第二种Battering ram

需要字典:1个 【payloadset部分只能选择1】

变量数量:不限

加载顺序:将字典同时填入所有变量中,下图设置了两个变量,两个变量分别依次被填入了user1,user2,user3

理解BurpSuit Intruder几种攻击方式-LMLPHP

第三种Pitch fork

需要字典:N个 【payloadset可以选择N个】

变量数量:N个【需要和字段数量相同】

加载顺序:字典和变量分别对应,同时填入对应变量中,下图设置了两个变量,变量1依次被填入了user1,user2,user3,变量2依次被填入了pass1,pass2,pass3,user字典和pass字典一一对应

理解BurpSuit Intruder几种攻击方式-LMLPHP

理解BurpSuit Intruder几种攻击方式-LMLPHP

理解BurpSuit Intruder几种攻击方式-LMLPHP

第四种Cluster bomb

需要字典:N个 【payloadset可以选择N个】

变量数量:N个【需要和字段数量相同】

加载顺序:字典和变量分别对应,分别填入对应变量中,下图设置了两个变量,变量1依次被填入了user1,user2,user3 变量2首先被填入了pass1,然后是pass2,最后是pass3,user字典和pass字典分别对应,payload数量是 user字典数 X pass字段数

理解BurpSuit Intruder几种攻击方式-LMLPHP

参考链接:https://nitstorm.github.io/blog/burp-suite-intruder-attack-types/

05-11 18:16