Burp Intruder攻击类型

我在进行Web应用测试时经常使用Burp Intruder，但总是需要停下来思考针对多参数时应选择哪种攻击模式。因此我决定记录下来，既帮助自己记忆，也帮助其他不确定的用户。

为了演示不同模式，我将使用这个简单的表单：

1
2
3
4
5

<form method="post" action="/burp_test.php">
    Username: <input name="username" value="" type="text" /><br />
    Password: <input name="password" value="" type="password" /><br />
    <input type="submit" value="login" />
</form>

并使用两个词表：

用户词表：

1
2
3
4

fred
joe
george
guest

密码词表：

1
2
3
4
5

password
admin
guest
god
letmein

虽然这里只讨论两个参数，但读者可以轻松将这些示例推广到更多参数场景。

Sniper模式

Sniper模式使用单个输入词表，依次对每个参数进行攻击，其他参数保持默认值。对于四个用户的词表，它将发起8个请求：4个针对用户名字段，4个针对密码字段。

Battering Ram模式

Battering Ram模式也使用单个词表，但在单个请求中对每个参数使用相同的词。因此对于四个用户名，只会发起4个请求。

Pitchfork模式

Pitchfork模式与Battering Ram类似，但每个参数使用独立的词表。如果词表长度不匹配，请求将在较短词表用尽时停止。本例中将发起4个请求。

Cluster Bomb模式

最后是Cluster Bomb模式，这是在此场景中最常用的模式。它使用两个词表，将第一个词表中的每个词与第二个词表中的每个词组合进行攻击，即标准的密码暴力破解攻击。4个用户名与5个密码组合将产生20个请求。