์ฌ์ค BurpSuite์ Intruder ๊ธฐ๋ฅ ์ค Cluster Bomb์ ๋ํด์ ํฌ์คํ ์ ์ฐ๋ ๋์ค, Pitchfork ๋ผ๋ ๊ณต๊ฒฉ์ด ์๋ค๋ ๊ฒ์ ์๊ฒ๋์๋๋ฐ ์๋ค ๋์ด ๋น์ทํด๋ณด์ฌ์ ๋์ด ๋ฌด์์ด ๋ค๋ฅผ๊น? ์ ๋ํด์ ์ฐพ์๋ณด๋ค๊ฐ ํฌ์คํ ์ ์๋ก ์ฐ๊ฒ ๋์๋ค
https://systemweakness.com/attack-types-in-intruder-burpsuite-5c65900f71c7
์๋ Intruder ๊ธฐ๋ฅ์ ๋ํด ์ ์ ๋ฆฌ๋ ๊ธ๋ก, ์์๋ฅผ ๋ค์ด ์ค๋ช ํด ์ฃผ์ ์ ์ฝ๊ฒ ์ดํดํ ์ ์์๋ค. ์ด ํฌ์คํธ๋ ์ ๊ธ์ ์์ฝํด์ ์ ์ ๊ธ์์ ๋ฐํ๋ค.
Sniper
๋ด๊ฐ ์ฃผ๋ก ์ฉ๋๋ ๋ชจ๋ฅด๊ณ ๋งค๋ฒ ์ฐ๋ ๊ธฐ๋ฅ์ด๋ค.
Sniper๋ ํ๋์ Payload set๋ง ์ค์ ํ์ฌ ๊ณต๊ฒฉํ๊ณ , ๋ง์ฝ ์ฌ๋ฌ๊ฐ์ Payload Position์ด ์ ํด์ ธ์์ผ๋ฉด ํฌ์ง์ ๋ณ๋ก payload set์ ์ฌ์ฉํ๋ ๋ฐฉ๋ฒ์ด๋ค (์: position1 - set1์คํ ํ position2 - set1 ์คํ ํ position3 - set1 ....)
์ฆ ์ฒซ๋ฒ์งธ postion์ ํ์ด๋ก๋ ์คํํ๊ณ , ๋ค ๋๋๋ฉด ๋๋ฒ์งธ position์ ํ์ด๋ก๋ ์คํ, ๋๋๋ฉด 3๋ฒ์งธ... ์ด๋ฐ์์ผ๋ก ๋ฐ๋ณตํ๋๊ฑฐ !
ํ์ง๋ง ํฌ์ง์ ๋ณ๋ก payload set๊ฐ ๋ฌ๋ผ์ง๋ ๊ฒฝ์ฐ๋ ์ ํฉํ์ง ์์! (๊ณ์ ๊ฐ์ ํ์ด๋ก๋๋ฅผ ์ ์ฉํ๋ฏ๋ก~)
payload set์ด {apple,ball,cat} ์ด๋ผ๊ณ ์ ์๋์ด์๋ค๊ณ ํ๊ณ username๊ฐ password๋ผ๋ ๋ ํฌ์ง์ ์ด ์์ ๋ ๊ณต๊ฒฉ์ ๋ค์์ฒ๋ผ ์งํ๋๋ค.
username=$apple$ and password=$password$
username=$ball$ and password=$password$
username=$cat$ and password=$password$
username=$username$ and password=$apple$
username=$username$ and password=$ball$
username=$username$ and password=$cat$
์ ์ฒด request ๊ฐ์ = ํ์ด๋ก๋ ์์ ์๋ ์์๊ฐ์ * ํฌ์ง์ ๊ฐ์
Battering ram
์๋ ํ๋ฒ๋ ์จ๋ณธ์ ์ ์๊ธดํ๋ฐ Payload๋ฅผ ๋ฐ๋ณตํ์ฌ ์ฌ์ฉํ๋ฉฐ Payload๊ฐ ์ ์๋ ๋ชจ๋ ์์น์ ๋์ผํ Payload Set์ ๋์ ํ๋ ๋ฐฉ๋ฒ์ด๋ค.
username=$apple$ and password=$apple$
username=$ball$ and password=$ball$
username=$cat$ and password=$cat$
postion1=$same_value$ and password=$same_value$ ํ์์ผ๋ก ํฌ์ง์ ์ ๋ค์ด๊ฐ๋ ํ์ด๋ก๋๋ค์ด ๋ค ๋์ผํจ
๋ ํฌ์ง์ ์ ๊ฐ์ ๊ฐ์ด ๋ค์ด๊ฐ์ผ ํ ๋ ์ข์ ๋ฐฉ๋ฒ์ธ ๊ฒ ๊ฐ๋ค.
Pitchfork
์ค์ ํ Payload Position์ ๊ฐ์๋งํผ Payload Set์ ์ค์ ํ๋ ๋ฐฉ์์ด๋ค. ๋ค์ ๋์ฌ cluster bomb๊ณผ ์ ์ฌํ๋ค!! ๊ฑ๋ ํฌ์ง์ ๋ณ๋ก payload ์ธํธ๊ฐ ๋ค๋ฅธ ๊ฒฝ์ฐ๋ค !
Wordlist1:
1. apple
2. Ball
3. Cat
4. Dog
Wordlist2:
1. 11111
2. 2222
3. 333
4. 4444
5. 5555
Wordlist1์ k๋ฒ์งธ ์์์ Wordlist2์ k๋ฒ์งธ ์์๊ฐ ๋์๋๋ ๋ฐฉ์์ด๋ค. ๋ฐ๋ผ์ Wordlist2์ 5๋ฒ์งธ ์์๋ ๋ฌด์๋๋ค!!
username=$apple$ and password=$11111$
username=$ball$ and password=$2222$
username=$cat$ and password=$333$
username=$dog$ and password=$4444$
์ ์ฒด request ๊ฐ์= min(#wordlist1,#wordlist2,...)
Cluster bomb
์๋ ์์ pitchfork์ฒ๋ผ payload set์ ์ฌ๋ฌ ๊ฐ ์ ํด์ฃผ๋ ๊ณต๊ฒฉ์ด๋ค. ํ์ง๋ง ์๋ ์ข๋ ๋ค์ํ๊ฒ ๊ณต๊ฒฉ์ ์๋ํ๋๋ฐ ์์๋ฅผ ๋ณด์.
Wordlist1:
1. apple
2. Ball
3. Cat
Wordlist2:
1. 11111
2. 2222
3. 333
์ด๋ ๊ฒ ๋์ด์์ผ๋ฉด, ์ด๋ค ๋ฐฉ์์ผ๋ก ์ฝ๋๊ฐ ๋์ค๋๋ฉด
username=$apple$ and password=$11111$
username=$apple$ and password=$2222$
username=$apple$ and password=$333$
username=$ball$ and password=$11111$
username=$ball$ and password=$2222$
username=$ball$ and password=$333$
username=$cat$ and password=$11111$
username=$cat$ and password=$2222$
username=$ball$ and password=$333$
์ด๋ฐ์์ด๋ค.
๋ฐ๋ผ์ ์ ์ฒด request ๊ฐ์=#wordlist1 * #wordlist2 ์ด๋ค.
'
์๋ฌดํผ ์ด๋ ๊ฒ Intruder ์์ ์๋ ๊ธฐ๋ฅ์ ์ดํด๋ณด์๋ค!
์๋ ๊ธ๋ ์ฝ๊ฒ ์ ์ค๋ช ์ด ๋์ด์๋ค!
https://securitycode.tistory.com/21