intruder模块
用于自动对Web应用程序自定义的攻击。它可以用来自动执行您的测试过程中可能出现的所有类型的任务。例如目录爆破,注入,密码爆破等。
Target设置
Host:这是目标服务器的IP地址或主机名。
Port:这是目标服务的端口号。
Use HTTPS:这指定的SSL是否应该被使用。
Positions设置
attack type:攻击模式设置
sniper:对变量依次进行破解。多个标记依次进行。
battering ram:对变量同时进行破解。多个标记同时进行。
pitchfork:每一个变量标记对应一个字典,取每个字典的对应项。
cluster bomb:每个变量对应一个字典,并且进行交集破解,尝试各种组合。适用于用户名+密码的破解。
add:插入一个新的标记
clear:清除所有的标记
auto:自动设置标记,一个请求发到该模块后burpsuite会自动标记cookie URL等参数
refresh:如果必要的话,这可以要求模板编辑器的语法高亮。
在左下脚可以看到有几个标记
Payload设置(配置字典)
Payload Set:指定需要配置的变量
Payload type:Payload类型。
Simple list:简单字典
Runtime file:运行文件
Custom iterator:自定义迭代器
Character substitution:字符替换
Recursive grep:递归查找
lllegal unicode:非法字符
Character blocks:字符块
Numbers:数字组合
Dates:日期组合
Brute forcer:暴力破解
Null payloads:空payload
Username generator:用户名生成
copy other payload:复制其他payload
load : 导入字典文件
然后点击start attack即可进行密码爆破