搜索
查看: 1482|回复: 0

Burpsuite指南-小姨子都学会了

[复制链接]

680

主题

993

帖子

2503

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2503

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2021-10-20 21:14:13 | 显示全部楼层 |阅读模式

Burp Suite 是一个用于测试网络应用程序安全性的图形化工具。该工具使用 Java 编写,由 PortSwigger Web Security 开发。 该工具有三个版本。可以免费获取的社区版、专业版和试用后可以购买的企业版。本文将全方位的讲解 Burp 的使用全过程,欢迎各位同仁提出独特的见解。 burp 使用指南

01Burp 的启动

我们可以再 kali 的菜单中,或者再终端执行 burpsuite 直接启动 启动 BURP

02BURP 的界面

01.jpg

03 渗透第一步做好代理设置

Burp 的原理是,通过浏览器的代理,将浏览器的所有数据代理到 brup 中。再通过 Burp 对数据抓包,修改,放包最终达到所要的目的。

基于 http 的代理

这里已 kali 自带的火狐浏览器为列,菜单-首选项-网络设置 代理方式设置为手动代理 IP 和端口设置为 127.0.0.1:8080 http 代理 这样便完成了 http 的代理。

基于 https 的代理

首先再浏览器中输入 http://burp,点击右上角的 CA Certificate 获取证书 再浏览器中,导入获取的证书。 再浏览器代理中,勾选 为所有协议使用相同代理服务器 重启浏览器后,便可以抓包了。

基于 Android 的代理

相对而言,现在 pc 端用的比较少,而手机的用的比较多,那么能过用 burp 抓取手机的包吗? 首先确保手机和 kali 再同一个局域网,再通过 ifconfig 命令查看电脑端 IP 地址,然后再手机 WiFi 设置里面设置手机代理为电脑的 IP

打开 Burp Suite 配置代理即可,IP 为无线局域网的 IP,端口设置为和手机端一致即可

配置 burp

打开 burp,选择 Proxy(代理) 选项卡,会有四个子菜单,分别是 intercept http history websockets history options 点击 Options 选项卡,配置 burpd 代理

04 牛刀小试

再浏览器打开我们的论坛 https://bbskali.cnProxy 下的 intercept 中便可以看到当前的抓包信息。

Target 菜单

Target 选项卡中有三个子菜单,分别是 Site map Scope issue DEFINITIONS Site map 站点地图,该模块是给用户展现,当前网站被打开后,访问了那些资源。以及各种详细的报文响应。 Scope 该选项是,在 sitemap 中没有出现的 url 或者 path,我们可以手动去添加。一般不常用! issue definitions 该选项下会详细解释说明一些漏洞。如 sql injection

Proxy 菜单

Proxy(代理) 选项卡在前面有所提到,会有四个子菜单,分别是 intercept http history websockets history options intercept:显示当前抓获的数据包,有四个选项卡,具体作用如下: | 选项 | 作用 | |-----|-----| | Forward | 废弃当前 进入下一条 | | Drop| 断开当前代理 | | intercept is on /off | 打开 关闭代理 | | Action| 功能相当于鼠标右键 更多功能 |

intruder 暴力破解模块

这里我们以破解网站密码为列进行演示。

Pepeater

在 Burp 中,可以利用 Pepeater 对数据包进行修改,然后进行发送。 使用示例: 我们已论坛发帖为列,首先编写帖子的标题和内容。 然后在 burp 中抓包 右键—send repeater 对帖子的内容进行修改,然后点击 Send 在论坛中查看帖子,发现内容已修改。

Sequencer

Burp Sequencer 是一种用于分析数据项的一个样本中的随机性质量的工具。你可以用它来测试应用程序的 session tokens(会话 tokens) Burp Sequencer 主要由三个模块组成: Live capture 信息截取 Manual load 手动加载 Analysis options 选项分析 捕获令牌

Decoder

burp Decoder 是一个编码解码工具,可以将原始数据转换成各种编码

Comparer

Comparer 是一个可视化的差异比较器,先是加载数据,然后分析差异。

extender

从这个里面,我们可以加载 burp 的各种插件,也可以在 BApp Store 中去获取各种插件

END

QQ鎴浘20211020160046.jpg
有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表