Burpsuite中Intruder模块的作用是什么

Burpsuite中Intruder模块的作用是什么，针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

一、简介

Intruder模块用于完成对Web应用程序自动化攻击，一般流程：设置代理并开启拦截请求，将拦截到的数据包发送到Intruder模块，添加需要攻击的参数，设置参数字典，开始攻击。

二、Target功能

打开代理，拦截到请求包，在Raw处右击或者点击Action，发送到Intruder模块，目标服务器的域名或ip地址会自动被填写到这里，并能识别出是HTTP还是HTTPS协议。

三、Positions功能和payloads功能，以爆破账户密码为例

1、将拦截包发送到Intruder模块后，会自动识别出数据包中的参数，点击右边Clear，清除一下

2、假如知道账号，不知道密码，选中密码，点击右边的Add，添加到要爆破的参数，攻击方式是Sniper

3、设置要爆破的字典，选择Payloads，payload类型为文件类型，点击开始攻击

4、根据扫描结果返回的数据包长度发现，就一个数值不一样，说明这个就是要密码，再看一下下面的相应信息，有登录成功后的消息。

5、假如不知道账户，也不知道密码，继续添加账户也是爆破参数，攻击方式Pitchfork

6、设置payload，这是就需要设置两个字典，将用户名字典添加到第一个参数，将密码字典添加到第二个参数，开始攻击

7、扫描结果如下

8、四种攻击方式总结

Sniper 狙击枪模式，只针对一个位置进行探测，可以添加多个参数测试，但是每次只替换一个参数

Battering ram 攻城锤模式，针对多个位置使用一个Payload。比如用户名和密码是一样的情况下，只用一个字典。

Pitchfork 单叉模式，针对多个位置使用不同的多个Payload。，用户字典和密码字典必须一一对应

Cluster Bomb 激素炮模式，针对多个位置，全部组合。全部进行配对验证

9、Payload Processing 对生成的payload进行加密或其他修改，比如将字典都转为大写

四、Options功能

1、Request Headers请求表头，默认都勾选，修改数据包后自动更新数据包长度

2、Request Engine请求引擎，设置线程数、重连次数、重试前暂停时间

3、Attack Results设置攻击结果

4、Grep - Match在响应中找出存在指定的内容的一项

5、Grep - Extract 通过正则表达式获取响应的指定内容

6、Redirections 重定向设置，遇到重定向网页可以选择处理方式，直接转到重定向地址或者不转。

关于Burpsuite中Intruder模块的作用是什么问题的解答就分享到这里了，希望以上内容可以对大家有一定的帮助，如果你还有很多疑惑没有解开，可以关注亿速云行业资讯频道了解更多相关知识。