码迷,mamicode.com
首页 > 其他好文 > 详细

Burp Suite详细使用教程-Intruder模块详3

时间:2016-01-16 18:59:25      阅读:182      评论:0      收藏:0      [点我收藏+]

标签:

Burp Suite使用详细教程连载的第三章。0×02 Intruder—内置有效负荷测试使用技巧内置有效负荷测试选择项如下图:

技术分享

今天的小技巧使用的是 numbers,给大伙科普下:Numbers 数字可用于遍历文档ID、会话令牌等。数字可以为十进制或者十六进制、整数或分数、按顺序排列、逐步递增或完全随机。

今天我们就来看看他在注入中的妙用。嘿嘿。
在《 MYSQL 手工注入高级技巧之—limit 》的文章中我们使用的是 limit 来一个个来获取我们所需要的信息。大家都应该觉得这是一个非常繁琐的过程。那我们今天就用 burp 来定制自动化攻击来简化这个繁琐的过程。

首先我们把配置好的语句载入到 intruder 中进行信息刺探和测试,如下图所示:

技术分享

然后选择要进行有效负荷测试的参数值,我们的思路是改变 limit 递加的值,从而获取所以的数据库名。所以我们把 limit 的第一个参数作为有效负荷测试的位置。如下图:

技术分享

然后在有效负荷标签中选择 Numbers .如下图:技术分享非常一目了然的设置,范围从 1 到 7,值每次加 1,按顺序进行进行递增。然后
我们 start attack 测试如下图:技术分享技术分享到这里大家就明白了 numbers 的强大的吧。是不是非常的方便勒?嘿嘿。其实更方便的还在后面勒。O(∩_∩)O 哈哈~ 这样一个个的去查看数据是不是感觉非常不爽?那 burp 是否能把我们需要的数据提取出来勒?嘿嘿。 那今天的重头戏就来咯0×02 Intruder—页面数据提取首先我们要确定要获取数据的开始位置,这里的开始位置如下图:技术分享然后我们确定要获取数据的结束位置。如下图:技术分享结束的位置很重要,不然提取的数据不纯。
我们来到选项标签下面的 grep–extract 设置获取页面数据具体配置如下图:技术分享然后我们 start attack 看效果 O(∩_∩)O 哈!技术分享0×03 总结是不是非常的方便?大家千万别邪恶的去拖库哦,听说burp的拖库的效果是非常强悍的。在此我只做技术探讨,请勿做违法的事情。欢迎大家和我探讨 burp的其他高级技巧,我的邮箱:50421961@qq.com。最近 burp 还整合了 sqlmap 的

Burp Suite详细使用教程-Intruder模块详3

标签:

原文地址:http://www.cnblogs.com/Reverser/p/5135812.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!