Burp-Intruder模塊詳解

本文轉載自查看原文 2020-04-14 16:03 697 python與安全工具

Intruder的四個模塊:
Intruder爆破模式
參考

Intruder的四個模塊:

1：Target 用於配置目標服務器進行攻擊的詳細信息。
2：Positions 設置Payloads的插入點以及攻擊類型（攻擊模式）。
3：Payloads 設置payload，配置字典
4：Opetions 此選項卡包含了request headers，request engine，attack results ，grep match，grep_extrack，grep payloads和redirections。
你可以發動攻擊之前，在主要Intruder的UI上編輯這些選項，大部分設置也可以在攻擊時對已在運行的窗口進行修改。

1：Target 目標選項

這個選項是用來配置目標服務器的細節：

在BurpSuite任何請求處，右鍵菜單選擇“Send to intruder”選項，將自動發送到此模塊下並自動填充以上內容

2：Positions 位置選項

這個選項是用來配置在攻擊里產生的所有 HTTP 請求的模板：

你可以使用選項上的按鈕來控制位置上的標記：
ttack type：攻擊模式設置
sniper：對變量依次進行破解。多個標記依次進行。
battering ram：對變量同時進行破解。多個標記同時進行。
pitchfork：每一個變量標記對應一個字典，取每個字典的對應項。
cluster bomb：每個變量對應一個字典，並且進行交集破解，嘗試各種組合。適用於用戶名+密碼的破解。
add：插入一個新的標記
clear：清除所有的標記
auto：自動設置標記，一個請求發到該模塊后burpsuite會自動標記cookie URL等參數。這是一個為攻擊常規漏洞(SQL 注入)快速標記出合適位置的有用的功能，然后人工標記是為自定義攻擊的。
refresh：如果必要的話，這可以要求模板編輯器的語法高亮。
clear ：刪除整個編輯器內容

3：Payloads 有效負荷選項

這個選項是用來配置一個或多個有效負荷的集合。如果定義了”cluster bomb”和”pitchfork”攻擊類型，然后必須為每定義的有效負荷位置(最多8個)配置一個單獨的有效負荷。使用”payload set”下拉菜單選擇要配置的有效負荷。

選項1：Payload數量類型設置

Payload Set：指定需要配置的變量
Payload type：Payload類型。
這里只介紹部分常用Payload，其他Payload可自行研究。
Simple list:簡單字典
Runtime file:運行文件
Custom iterator:自定義迭代器
Character substitution:字符替換
Recursive grep:遞歸查找
lllegal unicode:非法字符
Character blocks:字符塊
Numbers:數字組合
Dates:日期組合
Brute forcer:暴力破解
Null payloads:空payload
Username generator：用戶名生成
copy other payload：復制其他payload

選項2：Payload Opetions[Simple list]

該選項會根據選項1中Payload type的設置而改變

選項3：Payload Processing

對生成的Payload進行編碼、加密、截取等操作

add:添加一條規則，會彈出添加操作窗口，可添加的規則如下：
Add prefix – 添加一個文字前綴
Add suffix – 添加一個文字后綴
Match/replace – 將替換匹配特定正則表達式的有效載荷的任何部位，用一個文字字符串表示。
Substring – 提取的有效載荷的子部分中，從指定的偏移量（0-索引）和至所指定的長度開始。
Reverse substring – 對於子規則來說，最終的偏移量指定的有效載荷的末尾向后計數，並且長度從端部向后偏移計數。
Modify case – 這個修改了的有效載荷的情況下，如果適用的話。同樣的選項作為的情況下修改有效載荷類型。
Encode – URL，HTML，Base64的，ASCII碼或十六進制字符串構建各種平台：采用不同的計划，該編碼的有效載荷。
Hash – hash
Add raw payload – 這之前或之后，在當前處理的值增加了原始負載值。它可以是有用的，例如，如果你需要提交相同的有效載荷在raw和哈希表。
Skip raw payload – 將檢查是否當前處理的值匹配指定的正則表達式，如果是這樣，跳過有效載荷和移動到下一個。這可能是有用的，例如，如果知道一個參數值必須有一個最小長度和要跳過的一個列表，比這更短的長度的任何值。
Invoke Burp extension – 調用一個Burp exxtension(擴展)來處理負載。擴展名必須已注冊入侵者有效載荷處理器。您可以從已注冊的當前加載的擴展可用的處理器列表中選擇所需的處理器。
Edit:編輯一條規則。
Remove：刪除一條規則。
Up:上移。
Down:下移。

選項4：Payload Encoding

你可以配置哪些有效載荷中的字符應該是URL編碼的HTTP請求中的安全傳輸。任何已配置的URL編碼最后應用，任何有效載荷處理規則執行之后。這是推薦使用此設置進行最終URL編碼，而不是一個有效載荷處理規則，因為可以用來有效載荷的grep選項來檢查響應為呼應有效載荷的最終URL編碼應用之前。

4：Opetions 選項卡

此選項卡包含了request headers，request engine，attack results ，grep match，grep_extrack，grep payloads和redirections。你可以發動攻擊之前，在主要Intruder的UI上編輯這些選項，大部分設置也可以在攻擊時對已在運行的窗口進行修改。

選項1：Request Headers

這些設置控制在Intruder是否更新配置請求頭。

如果選中‘update Content-Length header’框，Burp Intruder 會使用每個請求的 HTTP 主體長度的正確值，添加或更新這個請求里 HTTP 消息頭的內容長度。這個功能對一些需要把可變長度的有效載荷插入到 HTTP 請求模板主體的攻擊是很有必要的。這個 HTTP 規范和大多數 web 服務器一樣，需要使用消息頭內容長度來指定 HTTP 主體長度的正確值。如果沒有指定正確值，目標服務器會返回一個錯誤，也可能返回一個未完成的請求，也可能無限期地等待接收請求里的進一步數據。如果選中‘set Connection: close’框，則 Burp Intruder 會添加或更新 HTTP 消息頭的連接來請求在每個請求后已關閉的連接。在多數情況下，這個選項會讓攻擊執行得更快。

選項2：Request Engine

設置發送請求的線程、超時重試等。
Number of threads：線程，該選項控制攻擊請求的並發數。
Number of retries on network failure：網絡故障的重試次數 – 如果出現連接錯誤或其他網絡問題，Burp會放棄和移動之前重試的請求指定的次數。
ause before retry：重試前等待時間，當重試失敗的請求，Burp會等待指定的時間（以毫秒為單位），然后重試。
Throttle between requests：請求之間的等待時間，Burp可以在每次請求之前等待一個指定的延遲（以毫秒為單位）。此選項很有用，以避免超載應用程序，或者是更隱蔽。
Start time:開始時間，此選項允許您配置攻擊立即啟動，或在指定的延遲后，或開始處於暫停狀態。

選項3：Attack Results

設置攻擊結果的顯示。
Store requests/responses：存儲請求/響應，這個選項確定攻擊是否會保存單個請求和響應的內容
Make unmodified baseline request：未修改的基本請求，如果選擇此選項，那么除了配置的攻擊請求，Burp會發出模板請求設置為基值，所有有效載荷的位置。此請求將在結果表顯示為項目＃ 0 。使用此選項很有用，提供一個用來比較的攻擊響應基地的響應。
Use denial-of-service mode：使用拒絕服務的模式，如果選擇此選項，那么攻擊會發出請求，如正常，但不會等待處理從服務器收到任何答復。只要發出的每個請求， TCP連接將被關閉。這個功能可以被用來執行拒絕服務的應用層對脆弱的應用程序的攻擊，通過重復發送該啟動高負荷任務的服務器上，同時避免通過舉辦開放套接字等待服務器響應鎖定了本地資源的請求。
Store full payloads：保存完整的有效載荷。如果選擇此選項，Burp將存儲全部有效載荷值的結果。

選項4：Grep – Match

在響應中找出存在指定的內容的一項。可以通過列表旁邊的操作按鈕對列表中的選項進行操作，我們也可以通過add添加我們自定義的內容。
Match：匹配類型，指定的表達式是否是簡單的字符串或regular expressions(正則表達式)。
Case sensitive match：區分大小寫的匹配，指定檢查表達式是否應區分大小寫。
Exclude HTTP headers：排除HTTP頭，指定的HTTP響應頭是否應被排除在檢查。

選項5：Grep – Extract

通過正則提取返回信息中的內容。
點擊ADD就彈出正則編輯窗口，如圖我們選中我們需要獲取的部分就可以自動生成正則表達式。點擊OK就可以在列表中添加這條正則表達式。

選項6：Grep – Payloads

這些設置可以用於包含已提交的有效負載的反射的標志結果項目。如果啟用了此選項，BurpSuite會添加包含一個復選框指示當前負載的值在每個響應發現新的結果列。
Search responses for payload strings：在響應中搜索Payload。
Case sensitive match：區分大小寫，此指定是否對有效負載的檢查區分大小寫。
Exclude HTTP headers：排除HTTP標頭，不對HTTP響應頭進行檢查。
Match against pre-URL-encoded payloads：對預URL編碼的有效載荷匹配。

選項7：Redirections

重定向響應，控制Burp在進行攻擊時如何處理重定向。 Follow redirections：跟隨重定向
Never：不跟隨重定向（關閉跟隨重定向）。
On-site only：只會跟隨重定向到同一個網頁“網站” ，即使用相同的主機，端口和協議的是在原始請求使用的URL 。
In-scope only：只跟隨范圍內，Intruder只會跟隨重定向到目標范圍之內的URL 。
Always：總是跟隨重定向，將遵循重定向到任何任何URL。（此選項可能會引導burp到其他網站）

配置好相關的內容后就可以點擊任意模塊右上角的start attack或者菜單欄中的Intruder->start attack發起攻擊請求。

Intruder爆破模式

Intruder支持多種爆破模式、加密和編碼支持。常見的md5、base64、shal加密方式，都可以用burpsuite直接處理。 Intruder 爆破模式分別是：
Sniper（狙擊手模式）單一字典爆破 Battering ram（攻城錘模式）多字段相同字典爆破 Pitchfork（草叉模式）多字典意義對應爆破 Cluster bomb（集束炸彈模式）聚合式爆破

Sniper（狙擊手模式）單一字典爆破

抓包攔截后放到 intruder里面，軟件自動把所有的變量進行了標識化，然后根據自己需要，就只把密碼這個變量進行標識化。當使用sniper模式時，加載一個單一的payload，對標記點進行爆破，當然，如果只有一個標記點不用說，直接爆破。但是這個模式對於兩個或者兩個以上的標記點采用的方法時其中一個標記點加載字典內容，另一個標記點保持默認，當字典結束之后，互相交換，之前加載字典的標記點變成默認，默認的變成加載字典如下圖所示：

狙擊手模式使用一組payload集合，它一次只使用一個payload位置，假設你標記了兩個位置“A”和“B”，payload值為“1”和“2”，那么它攻擊會形成以下組合（除原始數據外）：
攻擊 NO. 標記 A 標記 B
1 1 默認
2 2 默認
3 默認 1
4 默認 2

Battering ram（攻城錘模式）多字段相同字典爆破

這里Battering ram指的是只加載一個字典，如果只有一個標記點，那么沒什么區別，如果有多個標記點，那么標記點的內容是一樣的，都是字典中的某一個，所以因為名字叫做“攻城錘”，狙擊槍變成錘子啦，哈哈哈哈…….如下圖：

攻城錘模式與狙擊手模式類似的地方是，同樣只使用一個payload集合，不同的地方在於每次攻擊都是替換所有payload標記位置，而狙擊手模式每次只能替換一個payload標記位置。
攻擊 NO. 標記 A 標記 B
1 1 1
2 2 2

Pitchfork（草叉模式）多字典一一對應爆破

這個方法比較特殊，要求必須傳入兩個以上的標記點，如果只有一個會報錯草叉模式允許使用多組payload組合，在每個標記位置上遍歷所有payload組合，假設有兩個位置“A”和“B”，payload組合1的值為“1”和“2”，payload組合2的值為“3”和“4”，則攻擊模式如下：
攻擊 NO. 標記 A 標記 B
1 1 3
2 2 4
個人理解就是：不同字典爆破不同字段（即相對字段相對字典爆破）