1. 首页
  2. 文章中心
  3. Other

burpsuit的安装和使用

83 阅读 0 评论
我是靠谱客的博主 土豪鸭子,最近开发中收集的这篇文章主要介绍burpsuit的安装和使用,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

一、安装
(注意看清英文单词)
1.找到这两个文件打开
在这里插入图片描述打开后是这样的
在这里插入图片描述2.先点一下 run
在这里插入图片描述3.复制下图的代码
在这里插入图片描述4.复制代码到下图的框里并点next
在这里插入图片描述5.点击manual activation
在这里插入图片描述6.复制下图框里代码
在这里插入图片描述
7.粘贴到下图框中在这里插入图片描述8.把下图框中的代码复制
在这里插入图片描述9.粘贴到下图框中
在这里插入图片描述
9.1点击next
9.2点击完成
9.3点击leave
9.4一直点击最右边的键
显示出这样代表完成了
在这里插入图片描述二、使用
Burp 模块介绍

  • Target
  • Target 作为 Burp 的第一个模块,作用是一个站点地图,会在左侧出现所有通过代理服务器的网页都会在此显示。
    如果想使用 Burp 进行测试,首先要修改一下本机浏览器的代理。
    下面以火狐为例来讲解 Burp 的基本配置
    首先需要在火狐的设置里,找到代理设置,设置为和 Burp 软件一样的 IP,即可。
    需要注意的就是端口号需要和这上面设置的端口号一致,都是 8080
    Proxy
    在 Burp 里,“Proxy” 模块是一个至关重要的模块
    Proxy 模块里面的 intercept 模块的作用是截断 HTTP/HTTPS 之间的请求流量,如果第三个按钮 “intercept is off”,这里是未开启拦截的意识,如果开启了则会变为 “intercept is on”

现在我们拦截下 CSDN 登陆页面的 HTTPS 流量。
去掉多余的参数,在 POST 登陆的实际请求只有这一句

&username=rNma0y&password=147258369&rememberMe=true&lt=LT-1269028-Xs5rYscId3GAlIBVB6NgisRx6zJCo5&execution=e2s1&_eventId=submit
当拦截开启的时候,整个网页他是无法请求的,因为发送的所有请求都被拦截下来了,如果你想访问下个网页,选择模块里的第一个按钮 “Forward”,这个按钮意味着放行,令他通过请求,发送此数据包。
Drop

Drop 则是丢掉这个包,重新抓取数据
Action

Action 的功能如下,可以把请求发送到各个模块进行交互
HTTP history

这个模块的功能则是这个就是截取包的历史记录,把先前截取的数据包历史停留在这里。

scan

Scan 这个功能模块的作用则是扫描,一个 Web 应用程序的扫描器,是 Pro 版独有的,社区版则不带有此功能。
使用方法是在抓包后右键菜单,出现 “Do a active scan”,点击后则会发送到 Burp 的 Scan 模块下,最重要的指示则是会高亮黄色
Intruder

Intruder 模块则是整个 Burp 工具里最有用的一块,在暴力破解这方面经常会上手,可以通过增加一个字典来实现自动化的攻击。
Attack type

Attack type 里的参数有四种
Sniper

Sniper,就是将你添加的字典里的数值一次赋给我们的多个参数去组合尝试,比如我们设置了有三个参数,分别是 a,b,c,字典里面有五个值(1,2,3,4,5),那么该模式下 Burp 会把 a 去替换成字典里的数值,b、c 保持原值,然后 b 去替换字典里的数值,a、c 保持原值,c 则以此类推。

battering ram

Battering ram,则是同时将 abc 赋值都用添加的字典去替换尝试。

Pitchfork

Pitchfork 则是需要用户导入三个字典,后依次替换变量。

Cluster bomb

Cluster bomb 也需要用户导入三个字典,但是他会把每个字典里的数值都去给变量测试替换一遍,比如 a 变量,字典一测试了字典二和三也会跟上去替换。

payload

Payload,作用是导入字典的作用:
Simple list

在这个模块下的 Simple list 定义则是最基础的,适合小量数据。
Brute forcer

Brute forcer 则是单纯的暴力破解,选择这个模块后他会尝试字典的所有内容。

Options

Options 是 Intruder 最后一个模块,他的功能是线程等功能的设置。

Number of chreads,线程量。

Number of retries on network failure ,则是网络故障的重试次数,三次则是重试三次连接。

Pause before retry,重试失败的请求时,Burp 将在重试之前等待失败后的指定时间(以毫秒为单位)。如果服务器被流量淹没,或发生间歇性问题,最好在重试之前等待一段时间,默认值为 2000 毫秒。

Reapeater

Repeater 即网页请求头,一般使用这个功能也是通过 Proxy 抓包然后 Send 发送过来的。

comparer

Comparer 模块是一个文件比较的功能,也非常简单,请读者自行了解。

最后

以上就是土豪鸭子为你收集整理的burpsuit的安装和使用的全部内容,希望文章能够帮你解决burpsuit的安装和使用所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(55)

相关文章

WEB漏洞扫描器-Burpsuite
WEB漏洞扫描器-Burpsuite
burpsuite爆破密码
burpsuite爆破密码
2、使用BurpSuite进行CSRF漏洞测试1.环境准备2.CSRF漏洞3.CSRF漏洞测试3.2.抓包
2、使用BurpSuite进行CSRF漏洞测试1.环境准备2.CSRF漏洞3.CSRF漏洞测试3.2.抓包
渗透测试工具:Burpsuite简略介绍1一、Burpsuite是什么?二、Burpsuite工具集:
渗透测试工具:Burpsuite简略介绍1一、Burpsuite是什么?二、Burpsuite工具集:
burpsuit的安装和使用
burpsuit的安装和使用
burpsuite检测xss漏洞
burpsuite检测xss漏洞
Burp suite ——爆破账户密码(含爆破token防爆破)
Burp suite ——爆破账户密码(含爆破token防爆破)
10大Web漏洞扫描工具more info
10大Web漏洞扫描工具more info

评论列表共有 0 条评论

立即
投稿
返回
顶部