BurpSuite Intruder 攻击类型详解-优快云博客

本文链接：https://blog.youkuaiyun.com/iteye_16188/article/details/82606389

本文详细介绍了BurpSuite Intruder模块中的四种攻击类型：Sniper、Battering Ram、Pitchfork 和 Cluster Bomb，并通过实例展示了每种攻击类型的运作方式。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

原文：http://digi.ninja/blog/burp_intruder_types.php
BurpSuit中Intruder中一共有四种攻击类型，本文原作者使用很好的例子来解释了四种攻击类型。

<form method="post" action="/burp_test.php">
	Username: <input name="username" value="" type="text" /><br />
	Password: <input name="password" value="" type="password" /><br />
	<input type="submit" value="login" />
</form>

使用两个字典：
1. user：

fred
joe
george
guest

2. password：

password
admin
guest
god
letmein

[b][color=blue]一）Sniper[/color][/b]
Sniper模式使用一个单一的输入，并且使用它来轮流替换每一个参数，并且把其它参数设置为默认值。对于4个单词的user字典，它将会生成8个请求，4个替换user域，4个替换password域。
[img]http://dl2.iteye.com/upload/attachment/0101/7641/3769f07c-e998-3309-8cfd-616fb3bfa6d1.jpg[/img]
[color=blue][b]二）Battering Ram[/b][/color]
同样使用一个字典，但是使用该字典替换每次请求中参数的每一个域。所以对于4个单词的字典，将会产生4个请求。
[img]http://dl2.iteye.com/upload/attachment/0101/7643/86ba1d77-0b2c-3c68-ae3c-41df9766377a.jpg[/img]
[b][color=blue]三）Pitchfork[/color][/b]
Pitchfork类似于Battering Ram，但是对于每个参数使用一个字典。如果字典长度不一样，那么生成请求的个数将与使用最短的长度那个字典相同。本例生成4个请求：
[img]http://dl2.iteye.com/upload/attachment/0101/7645/516e4888-d71b-3214-b79a-b7eacfef3059.jpg[/img]
[b][color=blue]四）Cluster Bomb[/color][/b]
Cluster Bomb是本例中应该使用的模式。它使用第一个字典的每一个单词和第二个字典的每一个单词组合，例如标准的暴力破解。4个username和5个password生成20个请求
[img]http://dl2.iteye.com/upload/attachment/0101/7647/bdc48ab8-44d5-3295-be5a-212df0f6c050.jpg[/img]

[译]Burp攻击类型