专业的

Burp入侵者入门

• 最近更新时间：2022年5月9日

• 阅读时间：4分钟

Burp Intuder是一种强大的工具，用于对网站进行高度定制的自动攻击。beplay体育能用吗它使您可以配置攻击，这些攻击一遍又一遍地发送相同的请求，每次将不同的有效载荷插入预定义的位置。除其他外，这对于：

• 基于输入的漏洞模糊。
• 执行蛮力攻击。
• 列举有效的标识符和其他输入。
• 收集有用的数据。

了解Burp入侵者如何运作的最佳方法是将其在行动中看到。我们建议遵循以下教程以启动您的第一个入侵者攻击。

有关Burp入侵者的功能和攻击类型的更多详细信息，请参阅完整的文档。

教程

在本教程中，您将学习使用Web安全学院中故意脆弱的实验室之一配置简单入侵者攻击的基础知识。beplay体育能用吗

步骤1：访问实验室

打开Burp的浏览器，并使用它访问以下URL：

https://beplay官网可以赌portsbeplay体育能用吗wigger.net/web-security/authentication/password基础/lab-username-enumeration-via-different-responses

点击访问实验室如果提示，并登录到您的Portswigbeplay官网可以赌ger帐户。这将打开您自己故意脆弱的博客网站的实例。beplay体育能用吗

步骤2：尝试登录

点击我的账户，然后尝试使用无效的用户名和密码登录。

在Burp Suite中，去代理> HTTP历史记录标签。这显示了自打开后Burp浏览器中提出的所有请求。

找出发布 /登录请求和将其发送给Burp Intruder。

步骤3：设置有效载荷位置

去入侵者标签。观察现在有一个标签显示发布 /登录要求。我们将将其用作我们攻击的基本请求。

请注意，在整个请求期间，Burp Intruder已自动将§人物插入各个位置。这些标志着有效载荷位置的开始和结束，在攻击过程中，BURP入侵者将尝试插入有效载荷。

对于此攻击，我们只需要在用户名范围。点击清除 §清除默认位置

突出显示的价值用户名参数，然后单击添加 §。

步骤4：选择攻击类型

在屏幕顶部，您可以选择不同的攻击类型。现在，只要确保将其设置为狙击手。

一种狙击手攻击将一组有效载荷插入请求中的一个或多个职位。

步骤5：添加有效载荷

现在，您只需要配置要使用的有效载荷列表即可。为此，我们将尝试使用不同的用户名发送请求，以测试登录机制的行为。

复制以下候选用户名列表：

• 候选用户名

去有效载荷子选项卡。

离开有效载荷类型设置简单列表。

在里面有效负载选项部分，单击粘贴将复制的用户名添加到列表中。

在里面有效负载集部分，您可以看到添加了多少个有效载荷，以及该攻击将发送多少个请求。对于此攻击，您应该看到：有效载荷计数：101 /请求计数：101。

步骤6：开始攻击

在右上角，单击开始攻击。这打开了一个新的攻击窗口，您可以看到Burp入侵者正在提出的每个请求。

如果选择表中的一个条目，则可以在消息编辑器中查看请求和响应。注意用户名参数在每个请求中包含与我们的有效载荷列表不同的值

步骤7：寻找任何不规则的反应

攻击窗口包含几列，显示有关每个响应的关键信息。

等待攻击完成，然后单击标题长度列对结果进行排序。如您所见，响应之一是不同的长度。

服务器的响应差异值得进一步调查。

步骤8：研究响应

从列表中选择任何请求以在消息编辑器中显示。

研究回答，请注意，大多数包含一个无效的用户名错误消息，但是具有不同长度响应的一条具有密码错误错误信息。

这种不同的响应强烈表明，在这种情况下，该用户名可能有效。

接下来是什么？

现在您有了一个可能正确的用户名，下一个合乎逻辑的步骤是尝试施加密码。

尝试使用您确定的用户名重复此攻击，并将此列表候选密码。

您可以查看完整解决实验室的解决方案。

了解有关Burp入侵者的更多信息

现在，您已经学习了如何使用狙击攻击类型来针对单个参数。

• 其他入侵者攻击类型提供多个参数的选项。
• 使用这些攻击练习反对现实的目标。
• 关于Burp入侵者的完整文件。
• 互动教程为Burp Suite。