burp suite intruder

burp suite intruder

이는 웹 애플리케이션을 대상으로 사용자 정의 공격을 자동화해서 수행한다.

• intruder를 사용하면 웹 애플리케이션에 대한 인증 우회 or 특정 파라미터의 값을 대량으로 브루트 포스 공격이 가능.
• 다양한 종류의 페이로드를 정의해서, 웹 애플리케이션의 반응을 획인가능.
• 커스터마이즈 가능 
  • 공격종류
    • sniper 단일 파라미터를 대상으로 여러 페이로드를 시도
    • batterting ram 여러 파라미터에 동일한 페이로드를 동시에 적용
    • pitchfork 여러 파라미터에 서로 다른 페이로드를 병렬로 적용
    • cluster bomb 여러 파라미터에 모든 페이로드 조합을 시도한다

---

우선 이 페이지로 연습해보자.... 저기에 test,test를 입력하였다.

---

여기에서 method중에서 post를 찾을수있다. 여기 아래를 보면 내가 보낸 username,password가 있다.

---

저기에서 send to intruder를 눌러준다.

---

여기에서 attack type을 내가 지정하는것이 가능하다... 페이로드나 다른 설정을 완료하면 start attack을 눌러주자.

---

우선 간단하게 비밀번호 몇개만 추가해서 해보자....(load items from file로 비밀번호 파일로 브루트 포스 공격 가능.)

 

---

생각해보니까 position지정을 안함

---

이렇게 비밀번호 영역에 해줄것이다.

---

앗.... 저는 돈이 읍어유.....

---

각각에 대한 요청과 결과를 볼수있으며 옳게 입력된 페이로드를 보면 location:index.php이며, 실패한 다른것들은 loing.php이다.

---

저거 말고 show response in browser는 모든 응답 출력해줌

---

카피에서 들어가보면 결과를 볼수있다...