Burpsuite Intruder 暴力破jie实战

Burp Suite是一款用于攻jiWeb应用程序的集成平台，其中包含了许多工具，其中之一就是Intruder。Intruder是Burp Suite中的一个模块，用于进行暴力破jie攻ji。下面是使用Burp Suite Intruder进行暴力破jie的步骤：

1. 打开Burp Suite并选择要攻ji的目标网站。
2. 在Burp Suite中选择Intruder选项卡，然后选择要攻ji的请求并将其发送到Intruder。
3. 在Intruder选项卡中，选择Payloads选项卡，并在Payload设置中选择要使用的Payload类型，例如：字典、数字、日期等。
4. 在Payload选项卡中，设置Payload的值，例如：字典文件的路径、数字的范围等。
5. 在Options选项卡中，设置要使用的其他选项，例如：要攻ji的参数、要使用的代理服务器等。
6. 单击Start Attack按钮开始攻ji。

需要注意的是，使用Burp Suite进行暴力破jie攻ji可能会违反法律法规，请在合法授权的情况下使用。

核心功能

一、准备工具

1.JDK

(可从官网根据系统要求选择相应版本下载JDK下载)

2.BrupSuite（可从官网直接下载，包括企业版、专业版、社区版BrupSuite下载）

二、BurpSuite定义及功能模块

BurpSuite是用于gong击web 应用程序的集成平台，是一个集成化的渗tou测试工具，它集合了多种渗tou测试组件，使我们自动化地或手工地能更好的完成对web应用的渗tou测试和攻ji。

功能模块包括：

Pro米xy：主要提供抓包及拦截功能，默认代理为127.0.0.1:8080；

Intruder：此模块常用于漏洞利用、暴力破jie等；

Repeater：手动操作补发单独的HTTP 请求并分析应用程序响应；

Sequencer：分析不可预知的应用程序会话令牌及重要数据项的随机性

Decoder：手动执行或对应用程序数据者智能解码编码；

Comparer：通过一些相关请求和响应得到两项数据的“差异”

Extender：扩展模块；

此篇仅介绍Intruder模块！

前期准备：

1. 设置代理并获取目标域名
2. 访问目标网站
3. 设置目标域
4. 关闭代理

这里在着重强调一下设置目标域，因为本人经常忘记。如下：

Burp Suite是一款常用的渗tou测试工具，可以用于拦截、修改和重放HTTP/HTTPS请求。设置目标域是Burp Suite中的一个重要功能，可以帮助用户更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻ji面等信息。具体操作步骤如下：

1. 打开Burp Suite，点击左侧的“Target”选项卡，进入“Site map”页面。
2. 在“Site map”页面中，点击“Add”按钮，输入目标域名或IP地址，点击“OK”按钮。
3. Burp Suite会自动对目标进行扫描，并在“Site map”页面中显示目标的站点地图。
4. 用户可以通过站点地图了解目标应用的整体状况，包括目标站点的URL、目标站点的子域名、目标站点的目录结构等信息。
5. 用户还可以通过“Scope”选项卡设置目标域的范围，包括添加或删除目标域、添加或删除目标域的子域名等。
6. 在“Target”选项卡中，用户还可以使用“Target”工具对目标进行更深入的分析和测试，包括使用“Spider”工具对目标站点进行爬虫扫描、使用“Scanner”工具对目标站点进行漏洞扫描等。

# 代码示例
1. 打开Burp Suite，点击左侧的“Target”选项卡，进入“Site map”页面。
2. 在“Site map”页面中，点击“Add”按钮，输入目标域名或IP地址，点击“OK”按钮。
3. Burp Suite会自动对目标进行扫描，并在“Site map”页面中显示目标的站点地图。
4. 用户可以通过站点地图了解目标应用的整体状况，包括目标站点的URL、目标站点的子域名、目标站点的目录结构等信息。
5. 用户还可以通过“Scope”选项卡设置目标域的范围，包括添加或删除目标域、添加或删除目标域的子域名等。
6. 在“Target”选项卡中，用户还可以使用“Target”工具对目标进行更深入的分析和测试，包括使用“Spider”工具对目标站点进行爬虫扫描、使用“Scanner”工具对目标站点进行漏洞扫描等。

入侵选项

找到表单登录页面然后发送到intruder。

即便是服务器线程数也就支持最大999，一般情况下不要超过100，太大了对目标服务压力过大会导致down掉。

这个1是前面选择字典，有1.2。前两个为1，后两个为2.