Burp Suite Intruder模块实战：从基础配置到高级自动化攻击

1. Intruder模块基础：从零开始配置攻击

第一次打开Burp Suite的Intruder模块时，我完全被那些专业术语搞懵了。但经过多次实战后发现，它本质上就是个"自动化请求发送器"——就像你雇了个不知疲倦的助手，能24小时不停向网站发送各种测试数据。想象一下手工测试SQL注入时，你得反复修改URL参数提交请求，而Intruder能自动帮你完成上千次这种重复劳动。

核心配置三要素缺一不可：

• Positions：告诉工具"往哪打"，用§符号标记攻击点。比如测试登录接口时，把username=§test§&password=§123456§中的参数值包裹起来
• Payloads：准备"弹药库"，可以是字典文件、数字序列或自定义字符组合
• Attack type：选择"战术打法"，就像玩射击游戏选单点还是扫射

实测中最容易踩的坑是忘记勾选"URL-encode payloads"，导致特殊字符被服务器直接过滤。有次测试XSS漏洞时，我准备的 payload因为没编码，直接被WAF拦截，白白浪费两小时排查原因。

2. 四种攻击模式深度解析与实战选择

2.1 Sniper模式：精准点射

最适合测试单个参数漏洞，比如检测用户ID是否存在SQL注入。它会按顺序把每个payload轮流放到所有标记位置。我常用它来快速验证盲注漏洞，配置步骤：

1. 在查询参数id=§1§处做标记
2. 加载包含SQL注入语句的字典文件
3. 设置响应长度差异超过10%时自动停止

但要注意响应时间差异！有次测试延时注入，页面默认加载2秒，注入成功时会延迟到5秒，这种场景就需要开启"Response time"分析功能。

2.2 Battering Ram模式：集团冲锋

同时向所有标记位置注入相同payload。去年审计某OA系统时，发现其多参数共用同一过滤逻辑，用这个模式快速验证了全局过滤缺陷。典型应用场景：

• 测试CSRF Token在多处的同步机制
• 验证全站统一的XSS防护策略
• 检查多个接口的相同参数处理逻辑

2.3 Pitchfork模式：组合打击

需要两组严格对应的数据时使用，比如测试"用户名枚举+密码爆破"组合攻击。关键是要确保两个payload列表的行数匹配。我通常会先用Python预处理字典：

python复制# 生成用户名字典和对应密码字典
users = ["admin","test","guest"]
passwords = ["admin123","test123","guest123"]
with open("user.txt","w") as f:
    f.write("\n".join(users))
with open("pass.txt","w") as f:
    f.write("\n".join(passwords))

2.4 Cluster Bomb模式：饱和攻击

最强大的笛卡尔积模式，但使用不当会被封IP。去年在某电商平台测试时，我用这个模式组合手机号和验证码：

• 手机号字典：100个已注册号码
• 验证码字典：0000-9999
  结果触发了频率限制，后来通过设置"10ms请求间隔+代理池轮询"解决了问题。

3. 高级配置技巧：让攻击更智能

3.1 Payload精加工流水线

原始字典往往需要二次处理，Intruder的Payload Processing就像个多功能加工车间：

• Add Prefix/Suffix：给所有payload加引号或注释符
• Match/Replace：把空格替换成/**/绕过WAF
• Invoke Burp Extension：调用自定义编码逻辑

有次遇到过滤空格的SQL注入，我配置的处理链：

1. Base64编码原始payload
2. 添加/*!50000前缀绕过检测
3. 最后URL编码特殊字符

3.2 结果过滤与自动化

Grep功能就像个智能筛子，我常用的过滤组合：

• Grep-Match：匹配"error|exception|warning"等关键词
• Grep-Extract：提取<title>标签内容比对
• Grep-Payloads：检查payload是否原样返回

更高级的玩法是设置自动化规则，比如当发现：

• 响应码200但长度变化>15%
• 出现"password error"但不存在"account not exist"
  就自动标记为潜在漏洞。

4. 企业级实战：从漏洞挖掘到利用

4.1 越权漏洞自动化检测

针对IDOR漏洞的检测方案：

1. 捕获正常请求：GET /api/userinfo?id=§1001§
2. 设置数字payload：1000-1100 step 1
3. 配置结果比对：
   • 提取响应中的email字段
   • 相同ID不同会话的响应差异报警

去年用这个方法在某SRC挖到高危漏洞，通过遍历id参数获取了上万条用户敏感信息。

4.2 二阶注入的自动化验证

常规扫描器很难检测的二阶注入，可以这样测试：

1. 在注册接口标记用户名参数：username=§test'-- §
2. 使用Cluster Bomb模式组合：
   • Payload组1：SQL注入片段
   • Payload组2：正常字符串
3. 登录后检查个人资料页是否触发注入

关键是要在"Settings"开启"Follow redirections"和"Store responses"。

4.3 大规模暴力破解防护

当需要测试数万次组合时，这些配置能避免被封：

• 资源池设置并发数为3
• 固定延迟100ms±50ms随机波动
• 配合代理扩展自动切换出口IP
• 遇到429状态码自动暂停1分钟

有次渗透测试中，通过这种温和的攻击方式，用12小时完成了50万次密码尝试，最终破解出弱密码。