@ 2013-02-28
共 19052 人圍觀,發現 32 個不明物體
感謝投遞
正常的對username/passwprd進行payload測試,我想大家應該沒有什麼問題,但對于Authorization:
Basic dXNlcm5hbWU6cGFzc3dvcmQ=這樣的問題,很多朋友疑惑了.
之前,我記得我介紹過burpsuite的intruder功能(),想必很多人沒什麼印象,在此,以HTTP
brute重提intruder功能.
以下面案例進行說明(隻作示範之用,具體以自己的目标為準)
Auth=dXNlcjpwYXNzd29yZA==處,也就是我們的關鍵位置.
那麼具體該如何做呢?大緻操作過程如下:
1.解密驗證用的base64字元串
解密後的字元串為:
問題來了,針對user:password這種形式的字元串,我們該如何設定payload呢?
想必很多人在此處了費盡心思。為了解決這個問題,接下來請看第二部分。
2.生成測試用的payload
對于這種格式,無法利用burpsuite順利的完成測試,那個就需要豐富對應的payload了.
我的做法就是,利用burpsuite生成我要的payload文本.
設定3處payloads,
然後根據intruder自帶的battering ram/pitchfork/cluster bomb生成payloads(根據自己的需求生成)
我在此處選擇以cluster bomb為例,利用intruder生成需要的payloads,然後儲存到文本檔案中.
3.利用payload進行測試
測試的時候,我們選用sniper,我們隻需一個payload變量
若有不足之處,歡迎指正.
如文中未特别聲明轉載請注明出自:FreebuF.COM