Burp Suite详细使用教程-Intruder模块详3
Burp Suite使用详细教程连载的第三章。0×02 Intruder—内置有效负荷测试使用技巧内置有效负荷测试选择项如下图:
今天的小技巧使用的是 numbers,给大伙科普下:Numbers 数字可用于遍历文档ID、会话令牌等。数字可以为十进制或者十六进制、整数或分数、按顺序排列、逐步递增或完全随机。
今天我们就来看看他在注入中的妙用。嘿嘿。
在《 MYSQL 手工注入高级技巧之—limit 》的文章中我们使用的是 limit 来一个个来获取我们所需要的信息。大家都应该觉得这是一个非常繁琐的过程。那我们今天就用 burp 来定制自动化攻击来简化这个繁琐的过程。
首先我们把配置好的语句载入到 intruder 中进行信息刺探和测试,如下图所示:
然后选择要进行有效负荷测试的参数值,我们的思路是改变 limit 递加的值,从而获取所以的数据库名。所以我们把 limit 的第一个参数作为有效负荷测试的位置。如下图:
然后在有效负荷标签中选择 Numbers .如下图:
非常一目了然的设置,范围从 1 到 7,值每次加 1,按顺序进行进行递增。然后
我们 start attack 测试如下图:
到这里大家就明白了 numbers 的强大的吧。是不是非常的方便勒?嘿嘿。其实更方便的还在后面勒。O(∩_∩)O 哈哈~ 这样一个个的去查看数据是不是感觉非常不爽?那 burp 是否能把我们需要的数据提取出来勒?嘿嘿。 那今天的重头戏就来咯0×02 Intruder—页面数据提取首先我们要确定要获取数据的开始位置,这里的开始位置如下图:
然后我们确定要获取数据的结束位置。如下图:
结束的位置很重要,不然提取的数据不纯。
我们来到选项标签下面的 grep–extract 设置获取页面数据具体配置如下图:
然后我们 start attack 看效果 O(∩_∩)O 哈!
0×03 总结是不是非常的方便?大家千万别邪恶的去拖库哦,听说burp的拖库的效果是非常强悍的。在此我只做技术探讨,请勿做违法的事情。欢迎大家和我探讨 burp的其他高级技巧,我的邮箱:50421961@qq.com。最近 burp 还整合了 sqlmap 的
最新文章
- Selenium安装失败WebDriverException: Message: 'gechodriver' executable needs to be in PATH
- 堆排序算法 java 实现
- 75篇关于Tomcat源码和机制的文章
- Scala学习(一)
- 找出链表中倒数第 k 个结点
- Web Service(一) 基础学习
- 基础C++ functional
- as中的陷阱
- 【转】C# 委托的介绍(delegate、Action、Func、predicate)
- swift新手入门视频教程-08-枚举
- python 导入库问题
- cocos2d-x-lua基础系列教程三(lua面向对象)
- windows server 2012 AD 活动目录部署系列(七)Active Directory 的授权还原
- JavaWeb总结(九)—过滤器
- WebGL学习(1) - 三角形
- (NO.00002)iOS游戏精灵战争雏形(七)
- Uiautomator--出现报错“urllib3.exceptions.ProtocolError:<'Connection aborted.',error<10054,''>>”的解决方式!
- 从淘宝和网易的font-size思考移动端怎样使用rem?
- uva 11992
- SpringBoot系统列 5 - 接口版本控制、SpringBoot FreeMarker模板引擎