继续接上次笔记:

1、Burp Intruder的payload类型的子模块(Character blocks)使用一种给出的输入字符,根据指定的设置产生指定大小的字符块,表现形式为生成指定长度的字符串,通常使用了边界测试或者缓冲区溢出。

Base string是指设置原始字符串,Min Length是指payload的最小长度,Max length是指payload的最大长度, Setp☞生成payload时的步长,如下图就是配置之后产生的payload

2、数字类型(number)------根据配置产生一系列数字作为payload,其中Type表示使用序列还是随机数,From表示数字从什么开始,To表示到那个数字结束,Step表示步长是多少。假设选择了随机数,How Many被激活,表示一共产生多少个随机数,Max Integer digits 表示最大整数是多少,如果是十进制,则Min fraction digits表示小数点最少是几位,Max fraction digits 表示小数点后最多几位。

3、日起类型(dates)根据配置生成一系列的日期

4、暴力字典(Burp force)生成包含一个指定字符集的所有排列特定长度的有效载荷,通常用于枚举字典的生成。character  set 表示生成字典的数据集,Min length 表示生成payload最小的长度。

5、空类型(NULL payload)这种类型的payload其值是一个空字符串,在攻击的时候,需要同样的请求反复的执行,在没有任何修改 原始请求的场景下这样的payload非常有用,可以用于各种攻击,列如cookie序列分析,应用层Dos,保活会话令牌实在它的间歇实验中使用。在配置payload生成时,Generate表示多少payload,continue indefinitely表示持续攻击。

6、字符(character frobber)这种类型的payload规律是一次修改指定的字符串在每个字符位置的值,每次是在原字符递增一个该字符的ASCII码,通常用于测试系统使用了复杂的会哈令牌的部件来跟踪会话状态。当修改令牌中的单个字符值后,会话还是进行了处理,则说明这个令牌没有被用来追踪会话。

7、bit filter(bit翻转)生成规律是,对预设定的payload原始值,按照比特位,一次进行修改。operation on 指定对payload位置原始数据进行BIT翻转还是指定值进行bit翻转, format of original data 是指是否对原始数据的文本意义进行操作,还是应该把它当做ASCII十六进制, Select bits to flip 是指选择翻转的bit位置,可以基于文本意义进行操作,或者基于ASCII十六进制字符串进行翻转。

这种类型的payload类似于字符frobber

Brup Suite 渗透测试笔记(七)的更多相关文章

  1. Brup Suite 渗透测试笔记(五)

    之前章节记到Burp Intruder功能区,接上次笔记 一.首先说再展开说说Brup Intruder功能, 1.标识符枚举Web应用程序经常使用标识符来引用用户账户,资产数据信息. 2.提取有用的 ...

  2. Brup Suite 渗透测试笔记(八)

    续上次笔记 1.之前记到payload类型的用户名生成器,(username  generator).这种类型发payload只要用于用户名和email账号的自动生成. 2.ECB加密块洗牌(ECB ...

  3. Brup Suite 渗透测试笔记(六)

    接上次笔记这章记payload的类型分类做一说明: 1.simplelist是一个简单的payload类型,通过配置一个字符串作为payload,也可以手动添加字符串列表. 2.运行文件 Runtim ...

  4. metasploit渗透测试笔记(内网渗透篇)

    x01 reverse the shell File 通常做法是使用msfpayload生成一个backdoor.exe然后上传到目标机器执行.本地监听即可获得meterpreter shell. r ...

  5. Web渗透测试笔记(基础部分)

    信息收集: dns信息收集 格式:dns... -参数 域名 -参数 示例: root@xxSec:~# dnsenum baidu.com root@xxSec:~# dnsenum -f dns. ...

  6. kalilinux渗透测试笔记

    声明:本文理论大部分是苑房弘kalilinux渗透测试的内容 第五章:基本工具 克隆网页,把gitbook的书记下载到本地 httrack "http://www.mybatis.org/m ...

  7. kalilinux 渗透测试笔记

    声明:本文理论大部分是苑房弘kalilinux渗透测试的内容 第五章:基本工具 克隆网页,把gitbook的书记下载到本地 httrack "http://www.mybatis.org/m ...

  8. 【i春秋 综合渗透训练】渗透测试笔记

    网站是齐博CMS V7.0    1.要求获得管理员密码:   利用齐博CMS V7.0  SQL爆破注入漏洞即可得到管理员用户名密码    https://www.cnblogs.com/vspid ...

  9. fastjsion反序列化漏洞渗透测试笔记

    本文原创地址:https://www.cnblogs.com/yunmuq/p/14268028.html 一.背景 fastjsion是阿里的开源Java工具:https://github.com/ ...

随机推荐

  1. js对象数组去重

    <script> var array = [{ greeting: "Hello", nickName: "Aziz" }, { greeting: ...

  2. LOJ #2541「PKUWC2018」猎人杀

    这样$ PKUWC$就只差一道斗地主了 假装补题补完了吧..... 这题还是挺巧妙的啊...... LOJ # 2541 题意 每个人有一个嘲讽值$a_i$,每次杀死一个人,杀死某人的概率为$ \fr ...

  3. XML解析技术-dom4j

  4. python - 文件系统和文件

    文件系统和文件        文件系统是os用于明确磁盘或分区上的文件的方法和数据结构--即在磁盘上组织文件的方法        计算机文件,是存储在某种长期储存设备或临时存储设备中的一段数据流,并且 ...

  5. JS 如何将 HTML 页面导出为多页 PDF

    参考链接:https://blog.csdn.net/pwc1996/article/details/70141383

  6. 使用ENCKEYS方法加密数据

    要使用这种数据加密方法,您需要配置Oracle GoldenGate以生成加密密钥并将密钥存储在本地ENCKEYS文件中.此方法使用的永久密钥只能通过根据使用加密密钥填充ENCKEYS文件中的说明重新 ...

  7. 10分钟轻松学会 Python turtle 绘图

    python2.6版本中后引入的一个简单的绘图工具,叫做海龟绘图(Turtle Graphics),turtle库是python的内部库,使用导入即可 import turtle 先说明一下turtl ...

  8. pt-table-sync同步报错Called not_in_left in state 0 at /usr/bin/pt-table-sync line 5231【原创】

    试验环境MySQL5.7.19,自己使用pt-table-sync 3.0.2版本同步后,手动在从库执行后,在用pt-table-sync验证时报错 命令如下: pt-table-,u=用户名,p=, ...

  9. DFS不怂之《leetcode-岛屿的个数》

    leetcode刷到这道题: 给定一个由 '1'(陆地)和 '0'(水)组成的的二维网格,计算岛屿的数量.一个岛被水包围,并且它是通过水平方向或垂直方向上相邻的陆地连接而成的.你可以假设网格的四个边均 ...

  10. liunx中的iptables

    作者:邓聪聪 iptables的入站端口放行策略: iptables -A INPUT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ...