区分网站系统方法:网址后面修改大小写,大小写报错证明是linux,返回正常正常是windows
Server:使用的容器
有时候可以看出是否有waf回显
响应吗:
200:客户端请求成功,常见
302:重定向
404:请求资源不存在 常见
400:客户护短请求语法错误,不能被服务器所理解
401:请求未经授权
403:服务器收到请求,但是拒绝提供服务
500:服务器内部错误, 常见 菜刀访问报500可能被waf拦截了
503:服务器不能处理客户端请求,一段时间后恢复
如果被client-ip给限制了ip比如:burp暴力破解
被限制ip可以在破解时候的请求头里设置一个client-ip:1.1.1.1把1.1.1.1都设置成变量就可以边跑密码边换Ip(这个办法比较麻烦)方法二:burp插件“fakeip”在extender(扩展)BAPP
xxxx 找到后设置变量,再去爆破选项选择扩展生成,选择fakeip 在设置密码,直接攻击