閲前須知:本次測試僅供學習交流,禁止違規操作。
本次環境:Windows、FireFox瀏覽器、Burp Suite程式。
FireFox安裝FoxyProxy,配置對應監聽端口,還有安裝證書。
開啓監聽
抓到登錄包:
鼠標右鍵發送到Intruder
假设我们有两个负载位置(A和B),每个位置有两个可能的值(1和2)。
- Sniper:在这种模式下,Intruder会首先将A位置的值更改为1,然后更改为2,然后将B位置的值更改为1,然后更改为2。所以,你会得到以下四种组合:A1 B,A2 B,A B1,A B2。
- Battering ram:在这种模式下,Intruder会同时将A和B位置的值更改为1,然后更改为2。所以,你会得到以下两种组合:A1 B1,A2 B2。
- Pitchfork:在这种模式下,你需要两个负载列表。假设第一个列表的值为1和2,第二个列表的值为3和4。Intruder会将A位置的值更改为列表1的值,将B位置的值更改为列表2的值。所以,你会得到以下两种组合:A1 B3,A2 B4。
- Cluster bomb:在这种模式下,Intruder会生成所有可能的值组合。所以,你会得到以下四种组合:A1 B1,A1 B2,A2 B1,A2 B2。
这些例子应该可以帮助你理解这四种模式的区别。
定義爆破點
數字1代表爆破點1,數字2代表爆破點2
根據Status code響應判斷爆破狀態,如圖,爆破成功