BurpSuite的Intruder暴破模块匹配返回包内容
模块 内容 返回 匹配 Burpsuite
2023-09-11 14:22:30 时间
前言
📝记录一下,怕自己后面又忘了,bp功能太多,有时候过一段时间不用就会忘记甚至看不懂那些英文了,今天在做渗透的时候看到有一个用户名枚举,所以就趁这个机会记录一下了。
提示:以下是本篇文章正文内容,下面案例可供参考
首先进到Intruder模块,Add一下userName参数值,对用户名进行暴破。
然后点到Options,把Flag result items with responses matching these expressions的勾✅打上,然后下面就是选择我们匹配的内容,如果是中文的话,要进行UTF-8编码才行。电脑有python环境的,可以直接用python的encode函数对中文字符进行utf-8编码,如下图:
我这里是筛选出 用户名不存在
这6个中文字符,然后转成utf-8如下:
b'\xe7\x94\xa8\xe6\x88\xb7\xe4\xb8\x8d\xe5\xad\x98\xe5\x9c\xa8'
我们只选取斜杠的部分:
\xe7\x94\xa8\xe6\x88\xb7\xe4\xb8\x8d\xe5\xad\x98\xe5\x9c\xa8
然后把这部分添加进Grep-Match,记得一定要点击Add。
Match type的匹配类型选择Regex,如果是单纯英文的话,就勾选Simple string类型就行了。然后暴破的时候就有提示,存在就是1,这样就能更方便看出匹配结果了。
总结
记录📝一下而已。没有总结。
文章原创,欢迎转载,请注明文章出处: BurpSuite的Intruder暴破模块匹配返回包内容.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。
相关文章
- Python-Excel 模块哪家强 #华为云·寻找黑马程序员#
- Nginx编译安装第三方模块http_substitutions_filter_module2222
- python3中pymysql模块的事务操作
- docxtpl模块的word模板替换内容
- 关于python的mediapipe库踩过的坑-ImportError: DLL load failed while importing _framework_bindings: 找不到指定的模块。
- Window上python开发--4.Django的用户登录模块User
- Python编程:lambda替代品-operator模块
- 中职网络安全竞赛C模块MS17-010批量扫描
- nishang中的bypass模块,原来就是为了针对AMSI接口啊——AMSI专门是检测无文件攻击的,尤其是可以扫描一些string,看编码绕过后的真正执行内容是否恶意!
- 如何在Flask的构架中传递logger给子模块
- MyBatis源码第12章之缓存模块
- Ansible 常用模块之文件内容修改 blockinfile|lineinfile
- Python 3 自动化运维之目录差异比较filecmp模块