Day27_渗透 Burp Suite-Intruder Positions

将指定URL送到Intruder

确认操作对象

预设的可注入接口可能不是我们要的，所以先Clear

设定接口及选择攻击模式

再Add要使用的接口
这里选择admin与password
攻击模式选择Cluster bomb

• 攻击模式：
  1. Sniper：仅使用一组清单。攻击次数为清单数目x接口数目。
     将清单第一个字固定於passw，再将所有字轮流输入於uid(包括固定於passw的字)
  2. Battering ram：仅使用一组清单。
     将同一个字同时填入passw及uid。
  3. Pitchfork：使用多组清单。
     针对passw及uid，使用各自指定的清单。攻击时，会依次使用清单内资料。
     第一次攻击时，
     passw会使用password字典档的第一个资料，uid会使用username字典档的第一个资料。
     第二次攻击时，
     passw会使用password字典档的第二个资料，uid会使用username字典档的第二个资料。
     依此类推。
  4. Cluster bomb：使用多组清单。攻击次数为各字典档资料数的乘积。执行时间最长。
     先固定password字典档的第一个资料於passw，再将username字典档的资料轮流输入。
     接着固定password字典档的第二个资料於passw，再将username字典档的资料轮流输入。
     依此类推。