Intruder模块

功能介绍

该模块不仅仅可以完成暴力破解，还可以进行洞利用和Web应用程序模糊测试

常见攻击模式

概览

• Sniper
• Battering Ram
• Pitchfork
• Cluster Bomb

Sniper

在position中插入一个变量，读取一个字典库，填入该变量进行爆破（详见Low level实验过程）

Battering Ram

在postion中插入n个变量，读取一个字典库填入到n个变量中去 相当于将$admin$和$pwd$里都填入了一个字典库的值 这种适用场景太少了，谁的用户名和密码能一模一样呢？

Pitchfork

在postion中插入n个变量，读取n个字典库填入到n个变量中去，n个字典库的行数应该一致 这里是按顺序执行的，要一一对应，如果行数不一致就有可能部分变量填入的时候没有数据 当然也可以就输入一个变量，一般处理token验证时会用到Pitchfork模式，配合Grep Extract使用（high level实验里有详细步骤） [post cid="2206"/] 字典库1输入到$admin$里 字典库2输入到$pwd$里

Cluster Bomb

第三种Pitchfork的方式很不人性化，如果字典库的行数不一样，就会缺参数，而且不能交叉的进行排列组合，只能一一对应。 Cluster Bomb这种方式可以化解上述问题。 排列组合之后的结果

标签：渗透, burpsuite, 渗透教程, 暴力破解, 爆破, intruder, 入侵, 密码, 密码破解, 账户破解