burp suite使用(三)--- intruder收集关键信息
来源:互联网 发布:魅影传说坐骑进阶数据 编辑:程序博客网 时间:2024/05/01 00:32
Burp中的intruder具有收集信息的功能,但是很少人使用,流行的使用手册中也没有介绍怎样使用这个功能,我也是一点点试出来的。
比如我们需要收集http://xxxxxxxxx.com/auth/user/18/update网页中某些关键信息,以及该系列网页http://xxxxxxxxx.com/auth/user/??/update的同等位置的关键信息。
首先我们可以通过浏览器查看该网页的html文档。
该网页存在的关键信息有username,password等。
如果用浏览器一个个打开网页,并且查看的话,显然很麻烦。Burp中的intruder提供了一个简单的实现方式。
1.抓包
开启的burp的intercepr功能,对关键包进行抓取,那什么是关键包,就是当包的内容中出现 get auth/user/18/update,也就是刚好对上述网页进行访问的时候的那个包。
2.使用intruder批量收集信息
左键点击包的内容发送到intruder。
修改positions,指定关键字的位置,由于我们至于要更改网址中的数字索引,所以我们选择
2.1选择数字为关键字。
图中所示的关键字已被黄色标记。
2.2加载payloads
我制作了一个从0~100的纯数字文本txt文档,来当做payloads。
如下配置:
2.3 指定关键字位置
点击options,更改Grep-Extract。
点击Add -- fetch response,得到网页的返回内容,也就是在浏览器中查看的html文档。
选定关键字内容,ok。
我选取了用户名作为关键字。
重复上过程选择其他关键字。
2.4 start attack
结果已经出来了。
上述漏洞是wooyun上一个大神发现的,但是傲娇的厂商尽然选择忽略,这样也好,我们新手就又可以练手的地方了。
不要做坏事哦!!!
- burp suite使用(三)--- intruder收集关键信息
- Burp Suite详细使用教程-Intruder模块详解
- Burp Suite详细使用教程-Intruder模块详解
- Burp Suite详细使用教程-Intruder模块详解
- Burp Suite工具使用之二-Intruder模块介绍
- Burp Suite详细使用教程-Intruder模块详解
- Burp Suite安装及详细使用教程-Intruder模块详解
- Burp Suite详细使用教程-Intruder模块详解
- Burp Suite使用介绍(三)
- Burp Intruder使用
- Burp Suite使用介绍——Proxy功能(三)
- Burp Suite详细基本用法(二):Spider、Scanner、Intruder模块
- burp suite使用(二) --- 爆破
- Burp Suite使用介绍(一)
- Burp Suite使用介绍(一)
- Burp Suite使用介绍(二)
- Burp Suite使用介绍(四)
- Burp suite基本使用(一)
- 来京两周年
- C语言函数参数压栈顺序为何是从右到左?
- MarkDown
- Scala入门到精通——第二十二节 高级类型 (一)
- #第二周1001题解#
- burp suite使用(三)--- intruder收集关键信息
- 【POJ2096】【Collecting Bugs】
- Hibernate二级缓存使用(ehcache)
- rethat中ip地址的设定
- IOS--商品的添加与删除
- [读书笔记—效率]《超级整理术》- [日]泉正人
- 自定义ActionBar+fragment实现页面切换
- Codeforces 148D Bag of mice (概率dp)
- mysql 经典sql收集