使用burpsuite插件进行token爆破
Posted 向阳-Y.
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用burpsuite插件进行token爆破相关的知识,希望对你有一定的参考价值。
token爆破
token可能会在代码里回显,所以可以通过把值拿出来替换,与token值保持一致即可
操作步骤:
这里示范的是pikachu的token防爆破关卡。
1.登录抓包,并发送到Intruder
2.设置password和token为变量
3.选择攻击模式为Pitchfork
4.添加字典,其中payload set1表示第一个变量password
5.接下来设置第二个变量(token)
6.切换到options,且必须把number of threads(线程)设置为1(因为,每次都需要去查看token的值,所以一次发一个,并且查看一个token)
7.接下来往下翻到最下面,设置始终追随重定向
8.接下来选择Grep Extract 中的add
9.进入后找到token的值并选中它,选中之后点击OK
10.最后选择递归即可
成果图
以上是关于使用burpsuite插件进行token爆破的主要内容,如果未能解决你的问题,请参考以下文章
小技巧 | Burpsuite爆破含CSRF-Token的程序