本次使用BP的inturder模塊,測試該模塊下四種爆破方式的異同
四種方式爆破DVWA(Brute Force)測試
工具:burpsuite,使用intruder模塊
環境:DVWA,security設置為low
1、sniper
兩個參數
一個字典(知曉其中一個參數)
先匹配第一項,再匹配第二項,開始爆破
用爆破結果測試
2、battering ram:
兩個參數,這種攻擊適合那種需要在請求中把相同的輸入放到多個位置的情況。
一個字典同時作用於兩個參數,只有密碼和用戶名相同才能爆破成功。
由於第一次測試知道了用戶名密碼並不相同,所以爆破失敗
3、pitch fork:兩個字典,兩個參數,同行匹配,短的截止。
這種攻擊類型非常適合那種不同位置中需要插入不同但相關的輸入的情況。
這種方式字典一會一一對應字典二(a[1]--b[1]),直到字典較短的attack處理完了,爆破結束
因為導入的字典沒有匹配項為“admin---password”的,所以爆破失敗
修改字典使得匹配項符合
爆破成功
4、cluster bomb:‘兩個字典,兩個參數,交叉匹配,所有可能。
兩個字典將會循環搭配組合進行attack處理,這種攻擊適用於那種位置中需要不同且不相關或者未知的輸入的攻擊。
Payload 1導入用戶名字典
Payload2 導入密碼字典
攻擊請求的總數是各payload組中payload數量的乘積。(爆破時數量過大,可以把線程分配多一點進行爆破)
爆破成功
