1. 程式人生 > >Burpsuite神器常用功能使用方法總結

Burpsuite神器常用功能使用方法總結

字典 attack post Go original 過去 設置代理 發現 應用

Burpsuite介紹:

一款可以進行再WEB應用程序的集成攻擊測試平臺。

常用的功能:

抓包、重放、爆破

1.使用Burp進行抓包

這邊抓包,推薦360瀏覽器7.1版本(原因:方便)

在瀏覽器設置代理:

技術分享圖片

360瀏覽器:工具->代理服務器->代理服務器設置

技術分享圖片

設置好代理:127.0.0.1:8080 -> 確定

Burpsuite下載:

Burpsuite1.6.rar

(這邊說下,Burpsuite原為收費,打開的時候使用已經破解的補丁就可以正常使用,就是如下的正確打開方式)

打開BurpLoader.jar 進行監聽設置:

技術分享圖片

Proxy->Options

我們再仔細看下:

Interface 設置要跟前面瀏覽器設置的代理服務器一樣。

Running 一定要打勾才可以監聽。

開始抓包:

360瀏覽器設置:

技術分享圖片

Burp設置:

技術分享圖片

這樣在瀏覽器進行操作就可以抓到包:

技術分享圖片

可以直接在Raw這進行修改包的內容,最後要讓包正常傳遞過去,點擊Forward即可。

不要這個包,點擊Drop,就可以丟棄。

進行重放包:

技術分享圖片

鼠標對著Raw的內容右擊,最後單擊Send To Repeater

之後,你會發現這樣的情況:

技術分享圖片

只需要點擊Repeater進入重放功能模塊。

技術分享圖片

想要重放點擊Go就可以,從頁面可以看到左邊是我們抓到的包,右邊是包返回的結果。

進行爆破:

跟上面重放是一樣的,右擊Raw的內容,點擊Send to Intruder

之後也會出現Intruder變黃色。還是跟重放一樣,進去爆破功能模塊。

設置爆破的參數:

進入後,先點擊Clear $

把要爆破的參數後面的值選中,點擊Add $

技術分享圖片

設置好後,進行字典的設置。

技術分享圖片

點擊Load可以載入你自己的字典。

如果要爆破4位數的字典或者5位數的(純數字),不必自己生成字典,用Burp自帶的字典:

技術分享圖片

在進行設置:

技術分享圖片

最後要爆破的時候,點擊Start attack

雙參數爆破:

技術分享圖片

兩個參數設置。

再分別進行字典的導入:

技術分享圖片

轉載自:Burpsuite神器常用功能使用方法總結

Burpsuite神器常用功能使用方法總結