目标定位
- 针对特定请求进行攻击
- 支持 HTTP/HTTPS 协议
- 可设置攻击范围和目标主机
攻击模式
Intruder 提供四种攻击模式:
- Sniper(狙击手模式)
-
- 用途:单个参数逐个测试
- 工作方式:使用一个载荷集合,依次替换每个标记位置
- 适用场景:测试用户名、ID等单个参数
- Battering ram(攻城锤模式)
- 用途:所有参数使用相同的值
- 工作方式:多个标记位置同时使用相同的载荷
- 适用场景:需要多个参数同时变化的情况
- Pitchfork(草叉模式)
- 用途:多参数同时但独立变化
- 工作方式:每个标记对应一个载荷集合,同步遍历
- 适用场景:用户名密码组合爆破(两个不同列表)
- Cluster bomb(集束炸弹模式)
- 用途:多参数完全组合测试
- 工作方式:载荷集合的笛卡尔积
- 适用场景:全面爆破用户名和密码的所有组合
实战过程常用的模块
- Sniper(狙击手模式)
http://127.0.0.1/pikachu-master/vul/burteforce/bf_form.php
打开网站抓包
这里为什么用Sniper(狙击手模式),因为大家都喜欢用常用默认密码去设置密码,所以我们可以假设密码为
123456
所以我们要选择username用户名来进行遍历
添加payload
添加好我们要进行遍历的参数后,进入paylod进行添加字典
把字典复制到paylod即可
再资源池设置速率进行爆破即可
就会对username用户名来进行遍历
- Clusterbomb(集束炸弹模式)
同上面操作一样的,只不过他不是单一的遍历,相当于全部遍历
选择集束炸弹模式,并且添加两个payload
两个payLoad都要加
然后设置资源池即可
有问题可以联系深情哥vx或者关注湘安无事公众号。
进edu漏洞挖掘qq交流群,微信群得加深情哥wx拉。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容