1. 首页
  2. 文章中心
  3. ctf

Burpsuite的基本使用介绍Burpsuite

62 阅读 0 评论
我是靠谱客的博主 轻松烤鸡,最近开发中收集的这篇文章主要介绍Burpsuite的基本使用介绍Burpsuite,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

Burpsuite

Proxy模块

intercept介绍

Forward表示将截断的HTTP或HTTPS请求发送到服务器。

Drop表示把截断的HTTP或HTTPS请求丢弃。

Intercept is on 和Intercept is off 表示开启或关闭代理截断功能。

Action表示将截断的HTTP或HTTPS请求发送到其他模块或做其他处理。

对Intercept进行Raw Hex Params Header切换查看不同的数据格式。

截断后会有raw Hex Params Header 切换查看不同的数据格式。

在这里插入图片描述

HTTP history介绍

http history用来查看提交过的http请求。

Filter也可以过滤显示某些HTTP请求。点击Filter就可以打开。对于指定的URL可以选中右键点击,执行其他操作。Websockets history与HTTP history功能类似。

某个URL有Request和Response可以查看相关信息。

Options介绍

Options具有的功能:代理监听设置、截断客户端请求、截断服务器响应、截断WebSocket通信、服务端响应修改(绕过Js验证文件上传)、匹配与替换HTTP消息中的内容、通过SSL连接Web服务器配置、其他配置选项。

代理监听设置:

需要burpsuite和浏览器的局域网设置时同时对监听端头进行修改!!!缺一不可

在这里插入图片描述

设置Intercept Server Response同理

设置截断Websocket通信以及修改Response的内容

在这里插入图片描述

上面两个勾选是表示截断客户端和服务端之间的响应。

修改Response的内容

在这里插入图片描述

Remove all javascript可以文件上传的js验证(也可以直接在用F12查看网页源码时手动删除js的相关信息)。

匹配以及修改HTTP消息

可以修改HTTP请求和HTTP响应中的内容

在这里插入图片描述

Enabled:表示是否启动;

item:表示选项,例请求的头;

Match:匹配的规则;

Replace:进行如何替换;

Type:匹配的规则;

Comment:表示注释;

设置使用TSL连接到Web服务器

设置使用Burp直接通过TSL直连到目标服务器。(2021前的版本是SSL)。下面是具体讲SSL与TSL的简单介绍及原文链接

在这里插入图片描述

(SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。

TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。

SSL是Netscape开发的专门用于保护Web通讯的,目前版本为3.0.最新版本的TLS 1.0是IETE(工程任务组)指定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。两者差别极小,可以理解为SSL 3.1,它是写入了RFC的。
原文链接:https://blog.csdn.net/enweitech/article/details/81781405)

Target模块

Burp Target 组件主要包含站点地图、目标域、Target工具三部分组成,他们帮助渗透测试人员更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等信息。

作用域Scope介绍:

初级就是拦截指定的URL,勾选advanced就可以通过域名或者主机名等等限制拦截内容。

Sitemap介绍:

Site Map的左边为访问的URL,按照网站的层级和深度,树形展示整个应用系统的结构和关联其他域的URL情况,可以根据选择某个分支,对指定的路径进行扫描和抓取。

这里也有Filter和Proxy里一样。

对站点地图Sitemap进行分析,分析其中页面的提交参数等。

方法:右键选中目标 -> 选中Engagement tools -> Analyze target

其他功能模块可以大家自己去摸索摸索。

站点地图比较使用比较难!!!

Intruder模块

工作原理:Intruder在原始请求数据的基础上,通过修改各种请求参数,以获取不同的请求应答。每一次请求中,Intruder通常会携带一个或多个有效供给载荷(payload),在不同的位置进行重放,通过应答数据的比对分析来获得需要的特征数据。

Intruder应用场景:

使用步骤:

最后

以上就是轻松烤鸡为你收集整理的Burpsuite的基本使用介绍Burpsuite的全部内容,希望文章能够帮你解决Burpsuite的基本使用介绍Burpsuite所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(41)

相关文章

JDK分析工具及调优一、JDK分析工具二、JVM实战调优
JDK分析工具及调优一、JDK分析工具二、JVM实战调优
无偿分享web渗透测试中常用的6个工具 快收藏!
无偿分享web渗透测试中常用的6个工具 快收藏!
使用JDK自带工具进行性能分析
使用JDK自带工具进行性能分析
BurpSuite实战指南
BurpSuite实战指南
Burpsuite的基本使用介绍Burpsuite
Burpsuite的基本使用介绍Burpsuite
BurpSuite
BurpSuite
Web渗透攻击利器之更多工具收录
Web渗透攻击利器之更多工具收录
WEB渗透测试之三大漏扫神器
WEB渗透测试之三大漏扫神器

评论列表共有 0 条评论

立即
投稿
返回
顶部