很多時候burpsuite intruder爆破我們是看返回包的長度,那么如何根據返回包的內容來做篩選呢?
這里我用的本地某cms環境做個演示
Intruder模塊怎么用的不用介紹了吧 直接進入正題 選擇Grep-Match模塊 勾選啟用功能,添加我們要匹配的內容,使用簡單字符串進行匹配
效果如圖
那么如果我們返回包不是英文 而且中文的成功與失敗能否做匹配?答案是肯定的
使用py進行編碼的轉換
這里本地環境已經失敗過多 限制登錄了 所以我們匹配下 這個系統已禁止您今日登錄 復制\xe7\xb3\xbb\xe7\xbb\x9f\xe5\xb7\xb2\xe7\xa6\x81\xe6\xad\xa2\xe6\x82\xa8\xe4\xbb\x8a\xe6\x97\xa5\xe7\x99\xbb\xe5\xbd\x95 如下圖勾選 使用正則模式
效果如圖
更多內容,歡迎關注微信公眾號:信Yang安全,期待與您相遇。