shikata ga nai

Private? There is no such things.

Burp SuiteのAttack typeについてかいてみた

Hello there,

 

Burp Suiteの『Intruder』タブの中に『Positions』タブがあって。

Attack typeが下記のように4つあるのですが。

 ・Sniper

 ・Battering ram

 ・Pitchfork

 ・Cluster bomb

 

f:id:ThisIsOne:20200118144150p:plain

 

たとえば、攻撃するためのワードリストが以下のように用意してあると。

 ・WordList_A.txt

 ・WordList_B.txt

 

■Sniper

 ワードリスト:単数使用

 攻撃パターン:

  1回目のリクエスト:param1=WordList_A[0] & param2=

  2回目のリクエスト:param1=WordList_A[1] & param2=

  :

   ※1つ目のパラメータ終了後に2つ目のパラメータへ

 

  1回目のリクエスト:param1= & param2=WordList_A[0] 

  2回目のリクエスト:param1= & param2=WordList_A[1] 

  :

 

■Battering ram

 ワードリスト:単数使用

 攻撃パターン:

  1回目のリクエスト:param1=WordList_A[0] & param2=WordList_A[0] 

  2回目のリクエスト:param1=WordList_A[1] & param2=WordList_A[1] 

  :

   ※2つのパラメータに同じワードリストを

 

■Pitchfork

 ワードリスト:複数使用

  1回目のリクエスト:param1=WordList_A[0] & param2=WordList_B[0] 

  2回目のリクエスト:param1=WordList_A[1] & param2=WordList_B[1] 

  3回目のリクエスト:param1=WordList_A[2] & param2=WordList_B[2] 

  :

   ※2のパラメータに各々のワードリストを

 

■Cluster bomb

 ワードリスト:複数使用

  1回目のリクエスト:param1=WordList_A[0] & param2=WordList_B[0] 

  2回目のリクエスト:param1=WordList_A[1] & param2=WordList_B[0] 

  3回目のリクエスト:param1=WordList_A[2] & param2=WordList_B[0] 

  :

   ※1つ目のパラメータ終了後に2つ目のパラメータを変更

 

  1回目のリクエスト:param1=WordList_A[0] & param2=WordList_B[1] 

  2回目のリクエスト:param1=WordList_A[1] & param2=WordList_B[1] 

  3回目のリクエスト:param1=WordList_A[2] & param2=WordList_B[1] 

  :

 

なので、IDがわかっていてパスワードのみへの攻撃の際は、『Sniper』を。

IDとパスワードの両方の場合は、『Cluster bomb』となるのかと。

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain