【THM】Burp Suite:Other Modules(其他模块)-初级渗透测试

介绍

除了广泛认可的Repeater和Intruder房间之外,Burp Suite 还包含几个鲜为人知的模块。这些将成为这个房间探索的重点。

重点将放在解码器、比较器、排序器和组织器工具上。它们促进了编码文本的操作,支持数据集的比较,允许分析捕获的令牌内的随机性,并帮助您存储和注释 您稍后可能想要重新访问的HTTP消息的副本。尽管这些任务看起来很简单,但在Burp Suite中完成它们可以大大节省时间,从而强调了学习有效使用这些模块的重要性。

话不多说,让我们深入研究第一个工具,解码器。

解码器:概述

Burp Suite 的 Decoder 模块为用户提供了数据操作功能。正如其名称所暗示的,它不仅可以解码攻击期间截获的数据,还提供对我们自己的数据进行编码的功能,为传输到目标做好准备。解码器还允许我们创建数据的哈希和,并提供智能解码功能,该功能尝试递归地解码提供的数据,直到它恢复为纯文本(如Cyber​​chef的“Magic”功能)。

要访问解码器,请从顶部菜单导航至解码器选项卡以查看可用选项:

界面列出了多种选项。

  1. 该框用作输入或粘贴需要编码或解码的数据的工作区。与Burp Suite的其他模块一致 ,可以通过右键单击“发送到解码器”选项将数据从框架的不同部分移动到此区域。
  2. 在右侧列表的顶部,有一个选项可将输入视为文本或十六进制字节值。
  3. 当我们向下移动列表时,会出现下拉菜单来对输入进行编码、解码或散列。
  4. 位于末尾的智能解码功能 尝试自动解码输入。

在输入字段中输入数据后,界面会自我复制以呈现我们操作的输出。然后我们可以选择使用相同的选项应用进一步的转换:

2.1哪个功能尝试自动解码输入?        答案:Smart decode

解码器:编码/解码

使用解码器进行编码和解码

现在,让我们详细研究一下手动编码和解码选项。无论选择解码还是编码菜单,这些都是相同的:

URL:URL 编码用于确保 Web 请求的 URL 中数据的安全传输。它涉及用十六进制格式的 ASCII 字符代码替换字符,前面加上百分比符号 (%)。此方法对于任何类型的 Web 应用程序测试都至关重要。

例如,对正斜杠字符(/)进行编码,其 ASCII 字符代码为 47,将其转换为十六进制的2F ,从而在 URL 编码中变为%2F 。解码器可用于验证这一点,方法是在输入框中键入正斜杠,然后选择Encode as -> URL

HTML:HTML 实体编码用与号 (&) 替换特殊字符,后跟十六进制数字或对要转义的字符的引用,并以分号 (;) 结尾。此方法可确保 HTML 中特殊字符的安全呈现,并有助于防止XSS等攻击。解码器中的 HTML 选项允许将任何字符编码为其 HTML 转义格式或解码捕获的 HTML 实体。例如,要解码之前讨论的引号,请输入编码版本并选择Decode as -> HTML

Base64:Base64 是一种常用的编码方法,可将任何数据转换为 ASCII 兼容的格式。在这个阶段,引擎盖下的功能并不重要。

ASCII Hex:此选项在 ASCII 和十六进制表示形式之间转换数据。例如,单词“ASCII”可以转换为十六进制数“4153434949”。每个字符都从其数字 ASCII 表示转换为十六进制。

十六进制、八进制和二进制:这些编码方法仅适用于数字输入,在十进制、十六进制、八进制(以 8 为基数)和二进制表示形式之间进行转换。

Gzip:Gzip 压缩数据,在浏览器传输之前减小文件和页面的大小。对于希望提高 SEO 分数并避免给用户带来不便的开发人员来说,更快的加载时间是非常理想的。解码器有助于 gzip 数据的手动编码和解码,尽管它通常不是有效的 ASCII/Unicode。例如:

这些方法可以堆叠。例如,短语(“Burp Suite Decoder”)可以转换为 ASCII 十六进制,然后转换为八进制:

最近更新

  1. 一文了解什么是RESTful风格

    2024-04-02 14:04:03       0 阅读
  2. SQL Server详细使用教程

    2024-04-02 14:04:03       0 阅读
  3. js实现快速拖拽(定时器版本)

    2024-04-02 14:04:03       0 阅读
  4. Flink CDC 整库 / 多表同步至 Kafka 方案(附源码)

    2024-04-02 14:04:03       0 阅读
  5. 从事数据分析相关工作技术总结

    2024-04-02 14:04:03       0 阅读
  6. FFT快速傅里叶变换音频分析

    2024-04-02 14:04:03       0 阅读
  7. 基于单片机雨天自动关窗器的设计

    2024-04-02 14:04:03       0 阅读
  8. 基础矩阵和本质矩阵

    2024-04-02 14:04:03       0 阅读
  9. 水气表CJ/T188协议学习及实例

    2024-04-02 14:04:03       0 阅读
  10. 基于springboot的教学资源库源码数据库

    2024-04-02 14:04:03       0 阅读

热门阅读

  1. 洛谷 1803.凌乱的yyy

    2024-04-02 14:04:03       5 阅读
  2. Git学习

    Git学习

    2024-04-02 14:04:03      4 阅读
  3. 关于 MySQL 优化(详解)

    2024-04-02 14:04:03       4 阅读
  4. 面试题:Spring Boot中如何实现健康检查与监控

    2024-04-02 14:04:03       5 阅读
  5. FastAPI+React全栈开发19 React Hooks事件和状态

    2024-04-02 14:04:03       5 阅读
  6. Linux查询mac物理地址

    2024-04-02 14:04:03       4 阅读