0x00 准备
[平台]:Mutillidae
[工具]:BurpSuite 1.4.07 + FireFox
0x01 安装环境
1:安装配置mutillidae 如果遇到问题,移步下面的帖子.
http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-ow-top-10
2:SQL Injection测试
选择“OWASP Top 10″ —>> ”A1 - Injection” —>> ”SQLi - Extract Data” —>> ”User Info”
如下:
进入以下界面,如图:
单引号检测Name对应表单,返回如下:
利用常见的手段进行注入,
1.order by
2.UNION
3.SELECT
....
关于如何手动注入,在此略过. 废话了半天,下面直接看Burp Suite的应用.
如果想要熟悉Burp Suite的使用,一定要搞清楚它的几种检测模式. 假设有下面字典,利用上面四种方式,分别完成测试:
1
2
3
4
|
username ——-password
user002 ——– pwd002
user003 ——– pwd003
user002 ——– pwd002
|
sniper —— payload 数为1
1
2
3
4
5
6
7
8
9
10
|
----- username/password -------- sniper 测试过程【%username%---表示测试变量,也就是字典值】
-----%username%/password
-----username/%password%
user001 ------- password
user002 ------- password
user003 ------- password
....
username ---- user001
username ---- user002
username ---- user003
|
....battering ram ———– payload 数为1
1
2
3
4
5
|
------username/password ------- battering ram 测试
------%username%=%password%---->%username%/%password%
user001 ------- user001
user002 ------- user002
user003 ------- user003
|
pitchfork
1
2
3
4
5
|
-----username/password ------- pitchfork 测试
user001 -------- pwd001
user002 -------- pwd002
user003 -------- pwd003
... ---------------- ....
|
cluster bomb
0x03 小结
本文以Intruder的Sniper模式进行实例说明,介绍Burp Suite Intruder功能下singer,battering ram,pitchfork,cluster bomb.是怎么运作的.
更多实用的功能需要大家自己去尝试
如对本文有疑问,
点击进行留言回复!!
相关文章:
-
网络刺客2使用指南
网络刺客2使用指南 “天行”推出网络刺客2已有一年,想当初此软件因其强大的功能被国内“黑”界推为惊世之作。我在得到它后,却有近半年时间在研究、寻找...
[阅读全文]
-
冰河”启示录
冰河”启示录 作者: 陈经韬 前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)...
[阅读全文]
-
-
-
-
火凤凰2.4使用教程
今次给大家推荐的是阿风哥的作品:无赖小子。(way).说起来它普及的不广,但是面孔生疏的马儿更加隐蔽。不是众杀毒软件的众矢之的。好像不太容易被查杀。而且作者够仗...
[阅读全文]
-
-
火凤凰2.0使用教程
火凤凰是国产木马里最先使用反弹端口的木马,其避开防火墙的能力极其出色,DELPHI编写,功能较多但是不太好用,而且没有配置服务端的改变端口功能,相对而言比较危险...
[阅读全文]
-
-
-
网友评论