很多时候burpsuite intruder爆破我们是看返回包的长度,那么如何根据返回包的内容来做筛选呢?
这里我用的本地某cms环境做个演示
Intruder模块怎么用的不用介绍了吧 直接进入正题 选择Grep-Match模块 勾选启用功能,添加我们要匹配的内容,使用简单字符串进行匹配
效果如图
那么如果我们返回包不是英文 而且中文的成功与失败能否做匹配?答案是肯定的
使用py进行编码的转换
这里本地环境已经失败过多 限制登录了 所以我们匹配下 这个系统已禁止您今日登录 复制xe7xb3xbbxe7xbbx9fxe5xb7xb2xe7xa6x81xe6xadxa2xe6x82xa8xe4xbbx8axe6x97xa5xe7x99xbbxe5xbdx95 如下图勾选 使用正则模式
效果如图
更多内容,欢迎关注微信公众号:信Yang安全,期待与您相遇。