密码攻防实战：Burp Intruder 模块爆破技巧深度解析

在Web应用安全测试中，密码爆破是一种常见的攻击手段，攻击者通过尝试大量可能的密码组合，试图破解用户账户。Burp Suite 作为一款强大的Web安全测试工具，其 Intruder 模块提供了灵活高效的密码爆破功能。本文将深入探讨如何使用 Burp Intruder 模块进行密码爆破，并分享一些实战经验。

常见爆破场景重现

假设我们有一个简单的登录页面，用户名固定为 test，密码可以通过暴力破解获得。页面存在CSRF token，需要先获取token再进行爆破。

1. 捕获登录请求: 使用 Burp Proxy 拦截登录请求，将其发送到 Intruder 模块。
2. 分析请求: 分析请求包，找到用户名、密码和 CSRF token 参数。
3. 配置 Intruder: 设置用户名固定值、密码为 Payload，CSRF token 从响应中提取。

Intruder 底层原理剖析

Intruder 模块的核心在于其Payloads 功能。它允许我们定义payloads的生成方式，例如字典文件、数字序列、字符集组合等。攻击模式决定了 payloads 的注入方式，常见的有 Sniper (单点爆破)、Battering Ram (多点相同爆破)、Pitchfork (多点对应爆破)、Cluster Bomb (多点组合爆破)。

当配置好 Payloads 和攻击模式后，Intruder 会根据配置生成一系列的请求，并按照指定的并发线程数发送到目标服务器。通过分析服务器的响应，可以判断密码是否正确。响应分析通常基于状态码、响应长度、响应时间以及响应内容中的关键字。

代码/配置解决方案

1. 提取 CSRF Token

先访问登录页面，用Burp Proxy拦截，将请求发送到Intruder模块，配置如下：

• Positions: 标记需要提取token的位置，比如<input type="hidden" name="csrf_token" value="这里是token"
• Payloads: 设置Payload type为Recursive grep， initial request为访问登录页面的请求，Grep提取token的正则表达式设置为 csrf_token" value="([^"]+)"

2. 配置密码 Payload

在Positions选项卡中，添加用户名（固定值）、密码（Payload）和 CSRF token的变量。Payloads选项卡选择Simple list，并加载密码字典文件。对于更复杂的场景，可以使用 Runtime file 或 Custom iterator 来生成 Payload。

3. 设置攻击类型

根据场景选择合适的攻击类型。例如，用户名固定，密码变化，选择Sniper 攻击模式。

4. 配置 Request Headers

确保请求头中包含必要的 Content-Type 和 User-Agent。有时，服务器会根据 User-Agent 来判断请求是否来自正常的浏览器。

Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36

5. 分析结果

运行 Intruder，根据响应的状态码、响应长度和响应内容来判断密码是否正确。通常，正确的密码会返回一个与错误密码不同的响应。

实战避坑经验总结

1. 并发线程数控制: 过高的并发线程数可能导致目标服务器拒绝服务，甚至导致IP被封禁。建议根据服务器的性能和网络状况，逐步调整并发线程数。可以使用Nginx的反向代理和负载均衡来缓解服务器压力。
2. 密码字典的选择: 密码字典的质量直接影响爆破的成功率。选择与目标用户群体相关的密码字典，例如常见的弱密码、生日、姓名缩写等。
3. 验证码绕过: 对于存在验证码的登录页面，需要先绕过验证码才能进行爆破。可以尝试使用OCR识别、手动输入验证码、或者寻找验证码的漏洞。
4. 速率限制: 许多网站会实施速率限制策略，限制每个IP的请求频率。可以使用 Burp Intruder 的 Resource Pool 功能，结合代理IP池，来绕过速率限制。还可以配合宝塔面板，方便的配置Nginx的反向代理和管理服务器。
5. 请求去重: 在密码字典中可能存在重复的密码，这会导致 Intruder 发送重复的请求。可以使用 Burp Intruder 的 Grep - Extract 功能，提取响应中的唯一标识符，然后使用 Match - Replace 功能，过滤掉重复的请求。

掌握 Burp Intruder 模块的使用技巧，能够有效地进行Web应用安全测试，发现潜在的密码安全漏洞。在实际应用中，还需要结合具体的场景，灵活运用各种技巧，才能取得更好的效果。爆破密码并非目的，而在于提高应用的安全性，避免因弱口令导致的风险。