前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Burpsuite爆破含CSRF-Token的程序

Burpsuite爆破含CSRF-Token的程序

作者头像
C4rpeDime
发布2018-12-14 15:13:49
1.5K5
发布2018-12-14 15:13:49
举报
文章被收录于专栏:黑白安全

1. 抓包

0x01 开启burpsuite代理,抓取数据包,将请求包转送到Intruder

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序

2. 设置

0x02 Attack type选择Pitchfork,将passwod和user_token设置攻击位置

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序

0x03 在options栏找到Grep - Extract,点击Add,然后点击Refetch response,进行一个请求,即可看到响应报文,直接选取需要提取的字符串,上面的会自动填入数据的起始和结束标识

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序

点击“OK”返回,可以在列表中看到一个grep项

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序

0x04 返回payloads栏,payload 1 设置密码字典

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序

payload 2 选择payload type为“Recursive grep”,然后选择下面的extract grep项即可

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序

3. 攻击

0x05 从Results中可以看到每一次访问获取到的token作为了每次请求的参数,最终爆破出结果

Burpsuite爆破含CSRF-Token的程序
Burpsuite爆破含CSRF-Token的程序
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018-11-211,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 抓包
  • 2. 设置
  • 3. 攻击
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档