burpsuite 掃目錄技巧

洗澡的時候想到的
先設定好proxy去到網站
看到這個包


  1. GET / HTTP/1.1
  2. Host: zet.hack-stuff.com
  3. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/17.0 Firefox/17.0
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  5. Accept-Language: zh-tw,zh;q=0.8,en-us;q=0.5,en;q=0.3
  6. Accept-Encoding: gzip, deflate
  7. Proxy-Connection: keep-alive
"GET / HTTP/1.1"等等就是利用這邊
我們右鍵 send to intuder

反白"/"按add 或是直接取代,像這樣 GET §§ HTTP/1.1


來到payloads標籤欄
load自己的字典檔
注意下面的 payload encoding 不要打勾不然編碼會出問題

都設定好了以後點最上面的 intuder選項start attack
按一下status就會按順序排好,在途中我們就知道哪些頁面是存在的了

burpsuite實在是太霸氣了有很多預設的東西可以去逛一下,滿佩服作者..一些想法都不錯
太晚想到這東西了...能力不足也寫不出個鳥,還是burpsuite霸氣

2 則留言:

  1. 不只能掃目錄,猜密碼什麼的也很好用

    回覆刪除